✔ Sichere Angaben über Formular senden

[Kai-Behncke]

Hallo liebe Leute,


ich möchte gerne meine Formulare etwas sicherer machen, so dass Personen dort z.B. kein HTML eintragen können.
Ich meine, dass einer der nötigen Befehle "htmlentities" lautet?

Gibt es noch weitere Dinge zu beachten?

Danke und viele Grüße, Kai

 

[Flex]

Das kommt darauf an, was für Daten du erwartest und wie diese verarbeitet werden.
Wird das Formular per Mail verschickt, solltest du schauen dass niemand eventuelle Zweitempfänger eintragen kann und dadurch dein Formular zu einem offenen Mail Relay wird.
[phpf]htmlentities[/phpf] bzw. [phpf]htmlspecialchars[/phpf] kannst du nutzen, wenn du HTML E-Mails versenden willst.
Ich würde für Kontaktformulare jedoch jederzeit auf reine Textmails setzen. Da ist einem dann auch egal, wenn da HTML drin ist. Natürlich nur solange, wie dein Mailclient dass nicht automatisch als HTML Mail verarbeitet

 

[Kai-Behncke]

Hallo Felix,

danke erstmal für die Antwort.

Ich nutze ein Formular, in welches Gastronomen ganz normale Grunddaten reinschreiben sollen, also z.B. Besonderheiten eines Lokals etc.

Ich habe gelesen, dass man aufpassen muss, damit nicht einfach HTML-Code in eine DB geschrieben wird, richtig?

Nach einiger Suche scheint mir nun folgender Weg akzeptabel:

//$input_besonderheiten=htmlentities(trim(strip_tags($_POST['input_besonderheiten'])));

...liege ich damit richtig?

Viele Grüße, Kai

 

[Flex]

Ich würde beim Eintragen in die Datenbank gar nichts machen, außer dem Verhindern von SQL Injektionen durch z. B. [phpf]mysql_real_escape_string[/phpf] oder noch besser direkt Prepared Statements von PDO oder MySQLi.
Erst beim Auslesen würde ich die Zeichen maskieren.

 

[Kai-Behncke]

Danke, dann weiß ich bescheid