Sicherer Link

[PhoenixDH]

Wie überprüfe ich einen Link auf Sicherheit ?

Ich habe eine Toplist programmiert, in der man seine URL eintragen kann über ein Formularfeld. An die Tabelle wird nur der der Inhalt des Feldes übergeben z.b http://www.tuning-freaks-pfalz.de bei einer gültigen URL. Nun ist es aber ja möglich in das Formularfeld noch andere Sachen einzugeben, wie z.B. weitere Java-Script Befehle, z.B. onmouseover oder so.

Jetzt meine Frage:
Wie überprüfe ich den Link darauf, das es sich auch wirklich nur um eine normale URL handelt ? Welche Sicherheitslücken könnten dabei noch entstehen und wie kann ich die schließen ?

 

[Sicaine]

Super Du hast keine Ahnung programmierst aber ne Toplist? Hoffe mal du hast antürlich dir gedanken über die Fakesicherheit gemacht.

Ansonsten geh mal auf php.net und lass dir die Stringfunktionen ansehen da gibts auch ne Funktion wie man einzelne Zeichen z.b. rauslöscht.

 

[PhoenixDH]

Wenn jeder Alles könnte, wären solche Foren wie das hier ja unnötig !

Aber danke für den kleinen Tip !

 

[Gumbo]

Es gibt viele Möglichkeiten ein URL auf seine Authentizität zu überprüfen. Einerseits kann man den URL auf seine syntaktische Korrektheit überprüfen, aber auch, ob diese tatsächlich existiert, sprich ob eine Antwort bei einer Anfrage zurück kommt.

Dazu können unter anderem die URL-Funktionen parse_url() und get_headers() hilfreich sein.

 

[PhoenixDH]

Dann werde ich das mal nachscaun mit parse_url() !

 

[JohannesR]

Super Du hast keine Ahnung programmierst aber ne Toplist? Hoffe mal du hast antürlich dir gedanken über die Fakesicherheit gemacht.

Ansonsten geh mal auf php.net und lass dir die Stringfunktionen ansehen da gibts auch ne Funktion wie man einzelne Zeichen z.b. rauslöscht.

Verzeihnung, aber ueberlass das moderieren doch bitte den Moderatoren! Dieser Beitrag zeugt auch nicht grade von einem ueberragenden Geist!

 

[PhoenixDH]

Hab das jetzt mit einem fertigen Script irgendwie hinbekommen ! ABer leider wird nur das vor dem z.B. .de überprüft, kann ich das dahinter auch prüfen, wenn z.b. eine Un terseite verlinkt ?

 

[meilon]

Bei mir funktioniert es auch mit Unterseiten. Wichtig ist nur, das ein / am Ende der Zeile steht, nur dann erkennt er es richtig und gibt ein 200 OK zurück.

mfg

 

[PhoenixDH]

Aber wer weiß schon, das ein / an den Schluss muss ?
Genauso geht es nicht wenn das www fehlt !

 

[Nils Hitze]

Dann musst du mittels preg_replace ein www einfügen wenn es fehlt.
Easy ...