Formulare und deren Sicherheit

[QUEST08]

Holla,

also das nenn ich mal ausführliche Antworten. Das ganze scheint mir doch sehr komplex zu sein. Daher nun die Frage, würde

Hi,

beim Eintragen:

http://php.net/mysql_real_escape_string

beim Auslesen z.B.

http://php.net/htmlentities

das hier ausreichen? Wenn ja, kann ich mysql_real_escape_string bereits vor der Abfrage auf Gültigkeit prüfen? A la $string = mysql_real_escape_strin($_GET['blub']);

Vielen Dank für eure Antworten.

 

[Sven Mintel]

Moin,

ich würde nicht unbedingt behaupten wollen, dass dies das unschlagbare Allheilmittel gegen alle Attacken ist, aber es ist auf jeden Fall eine gute Basis Bei der Ausgabe kommt bspw. oft noch [phpf]wordwrap[/phpf] ins Spiel, weil böse Menschen gerne lange Wortwürste verfassen

Oftmals macht eine detailliertere Prüfung der Daten Sinn, z.B. auf einen bestimmten Typ, Wertebereich, RegExp etc.
Da würde ich dir [phpf]filter_input_array[/phpf] ans Herz legen, das nimmt dir viel Arbeit ab