Formular absichern!

[mgd-one]

Hallo zusammen,

ich habe ein kleines Problem mit meinen Formularen auf meiner Homepage.

Irgendwelche Leute machen sich einen Spaß daraus über meine Formularfelder Code einzuspeisen und den Traffic hoch zu jagen.

Ich muss jetzt die Formularfelder absichern. Allerdings weiß ich nicht genau wogegen ich sie absichern muss. Gegen Sonderzeichen? Und wenn ja welche alle?

Brauche dringen Hilfe. Besten Dank im Voraus.

Gruß

mgd-one

 

[pflo]

Hallo mgd-one,
wenn sie ständig HTML Codes einfügen (img oder ähnliches) sperr doch einfach <*> (alles was zwischen < und > ist).

 

[27apricot]

Hallo,

Weiß nicht, ob das ist, was du meinst, aber ich sichere meine Gästebücher ebenfalls gegen HTML-Tags und schreib' das deutlich zum Formular. In einem von mir geschriebenen Gästebuch gab es mal für kurze Zeit mehrere Werbe-Einträge. Seit ich HTML-Tags verbiete und außerdem der URL in dem dafür vorgesehenen Feld das Attribut rel="nofollow" gebe, gab es keinen einzigen mehr.

Außerdem überprüfe ich, ob der Eintrag schon in der Datenbank ist, so dass Mehrfacheinträge durch ständiges Neuladen der Seite nicht möglich sind.

Schöne Grüße:
27apricot

 

[pflo]

[...] das Attribut rel="nofollow" gebe, [...]

Der angegebene Link http://www.google.com/googleblog/2005/01/preventing-comment-spam.html funktioniert nicht.
Hier der richtige Link: http://googleblog.blogspot.com/2005/01/preventing-comment-spam.html

 

[mgd-one]

Das ist nicht ganz was ich meine. Es geht nicht um Werbung oder HTML in einem Gästebuch. Es geht darum das irgendwelche Scriptkiddies einen exploit in PHP nutzen um über ein Formular oder alles wo eine usereingabe möglich ist bösartigen Code zu injizieren.

Hoffe ihr versteht mein Problem.

 

[forsterm]

Das ist nicht ganz was ich meine. Es geht nicht um Werbung oder HTML in einem Gästebuch. Es geht darum das irgendwelche Scriptkiddies einen exploit in PHP nutzen um über ein Formular oder alles wo eine usereingabe möglich ist bösartigen Code zu injizieren.

Hoffe ihr versteht mein Problem.

Hallo,
das einzige, was du meiner Meinung nach dagegen machen kannst ist, dass du eine Moderation in dein Gästebuch einbaust, sprich die Beiträge werden erst angezeigt, nachdem du sie freigegeben hast.

mfg
forsterm

 

[NomadSoul]

Okay also Du must einfach alle Sonderzeichen Escapen so das diese nicht geparst werden, Ausserdem must Du deine SQL-Querys absichern.
Es klingt fast so als ob Du direkt $_POST/$_GET verwendest.
Du solltest Dir mal folgendes anschauen:
http://de.wikipedia.org/wiki/SQL-Injektion
http://de.wikipedia.org/wiki/Webanwendung

hoffe das hilft etwas.

 

[forsterm]

Hallo,
ich hab dich vorhin ein wenig falsch verstanden wenn du einfach nur willst, dass der HTML Code nicht ausgeführt wird, könnte dir eventuelle die [phpf]htmlentities[/phpf] Funktion helfen.

mfg
forsterm

 

[mgd-one]

@forsterm: Sorry aber du hast mich glaub ich dennoch falsch verstanden.

@NomadSoul: Danke das war das was ich meinte. Vielen Dank dafür!

 

[mgd-one]

Sorry war doch noch nicht 100%tig das was ich gesucht habe (wobei ich mir auch nicht sicher war wonach ich gesucht habe). Jetzt weiß ich aber was ich brauche:

und zwar ist das Problem das man in dem Formular z.B. PHP Endtag setzen kann seinen eigenen Quellcode dann einträgt und dann wieder PHP Tag öffnet und so Belibiege Scripte in die HP eingespeist werden können.

Wie kann ich dies verhindern? Gibet es dafür eine Funktion? Ich konnte irgendwie nichts finden vlt. habe ich auch nach dem Falschen gesucht