kleines Script gegen URL Injection

[starfoxfs]

Hi zusammen,

Ich hab eigentlich keine Frage sondern wollte nurmal mein Script gegen URL Injection hier vorstellen und wollte mir ein paar Meinungen darüber einholen, was kann man noch verbessern bzw wie sicher ist das Script.

Beispiel URL (keine Echte) http://www.xyz.de?content=aaa&show=test

// Sicherheitsprüfung gegen URL Injections
if(isset($_GET["show"])) {
$show = preg_replace( "/[^a-z]/im", "", $_GET["show"]);
$show = stripslashes(strip_tags($show));
$show = trim($show);
}

$whitelisted = array("test", "test1");

if (in_array($show, $whitelisted)) {

// Hier wird die Seite angezeigt

}else{

echo "Error, Seite nicht gefunden";

}

 

[Matthias Reitinger]

// Sicherheitsprüfung gegen URL Injections
if(isset($_GET["show"])) {
$show = preg_replace( "/[^a-z]/im", "", $_GET["show"]);
$show = stripslashes(strip_tags($show));
$show = trim($show);
}

Wozu die ganzen Transformationen, wenn du sowieso eine Whitelist benutzt?

Grüße, Matthias

 

[starfoxfs]

Naja ich dachte mir das ich erstmal allen "Schadhaften" Code filtere.
Dann die var $show speichere, und dann erst mit der whitelist vergleiche obs i.O ist.

 

[Matthias Reitinger]

Naja ich dachte mir das ich erstmal allen "Schadhaften" Code filtere.

Inwiefern könnte dieser „Code“ schadhaft sein? Durch die Whitelist wird ja sowieso alles Unerwünschte rausgefiltert. Der einzige Effekt, den du durch diese vorherige Transformation erhältst, ist der, dass ein und derselbe Inhalt über mehrere URLs erreichbar ist (z.B. wird bei http://example.net/?show=test und http://example.net/?show=test1 dieselbe Seite aufgerufen). Das ist etwas, was Suchmaschinen im Allgemeinen nicht sehr gerne sehen.

Grüße, Matthias

 

[starfoxfs]

Naja da haste auch wieder recht , dann werd ich wohl nur die Whitelist drin lassen.

LG,
Starfox

 

[Gumbo]

Das ist etwas, was Suchmaschinen im Allgemeinen nicht sehr gerne sehen.

Nicht nur Suchmaschinen. Ich mag das auch nicht.