Sicherheit bei Formularen

[SecuritySepp]

Ich wollte per GET den Modus abfragen, welche Seite eingebunden wird

Ich habe z.B. folgenden Code:

$mode = $_GET['mode'];

switch ($mode)
{

    case 'login':
    {
         break;
    }

    case 'logout':
    {
         break;
    }

    // ..... und dann halt noch bei default  die 404er Seite

}

Kann ich des Get einfach so in switch einfügen oder solte ich die Datei irgenwie filtern real_escape_string und htmletites bringt da ja nichts, oder schon?

 

[Parantatatam]

mysql_real_escape_string() brauchst du nur bei Eintragungen in die Datenbank. Was du allerdings beachten solltest, ist, dass auch Werte vorkommen können, die du nicht in deiner SWITCH-Struktur hast. Dementsprechend diese mit default: verarbeiten und dann auf die Startseite oder eine Fehlerseite verweisen (oder was du an der Stelle gerne hättest).

 

[CookieBuster]

Da dieses System im Prinzip einer Whitelist entspricht, kann man das schon so machen, denn alles was sich unterscheidet (also auch Schadcode) wird mit default verarbeitet. Und Default kannst du als eine beliebige Seite definieren.