Hackerschutz bei benutzereingaben

[Spieleguru]

Hi,
ich bin dabei ein browsergame zu programieren und muss nochmal die benutzereingabenüberprüfung überarbeiten. diese funktion hat die aufgabe verschiedene sonderzeichen in die dafür vorgesehenen htmlcodes umzuwandeln und bei nichterlaubten zeichen die eingabe abzuweisen.
Jetzt habe ich aber rausgefungen, das man die phptags ja mit einfachen anführungszeichen wieder schließen kann und somit viel mist anrichten kann. wie kann ich das beheben?

 

[Klein0r]

Also das man die PHP-Tags mit einfachen Anführungszeichen wieder schließen kann halte ich für unwahrscheinlich
Da machste dir am falschen Ende sorgen! Das wär ja schlimm...

Wenn es um SQL-Injection geht sieht das schon anders aus
>> http://de.wikipedia.org/wiki/SQL_Injection

lg

 

[trench140]

Hi,

ich glaube die Funktion die du suchst ist "addslashes()", die ersetzt z.B. ' durch \'.

 

[hot_wax]

Hi,

ich glaube die Funktion die du suchst ist "addslashes()", die ersetzt z.B. ' durch \'.

Wenn Magic Quotes an ist, wird diese Funktion automatisch auf alle GET, POST und REQUEST Daten angewendet. Jedoch sollte man lieber mit mysql_real_escape_string() arbeiten, bzw der Funktion für die jeweilige Datenbank.

Die Funktion für die HTML tags heißt htmlspecialchars oder htmlentities

 

[Spieleguru]

ok, danke für die funktionen da hab ich wohl was verwürfelt

zu den magicquotes: ab php6 wird das wieder abgeschafft... deshalb will ich mich erst nicht drauf verlassen!

 

[Klein0r]

Naja bei magic quotes steht:

This is identical to what addslashes() does.

Von daher hast du die Lösung ja eigentlich schon

lg