Sicherheit - Formular

[oldputz1990]

Hallo!

Ich hätte da mal eine Frage:

<form action="" method="post">
<table align="center" cellpadding="10" style="border-collapse: collapse; border: 1px solid grey" class="table1">
  <tr>
    <td><b>Benutzername:</b></td>
    <td><input type="text" name="benutzername" size="25"></td>
  </tr>
  <tr>
    <td><b>Passwort:</b></td>
    <td><input type="text" name="Passwort" size="25"></td>
  </tr>
</table>
<p>
<div align="center"><input type="submit" name="submit" value="Suchen"></div>
</form>

So sieht mein Login Formular aus:

Kann man da bei action="" irgentwas einschleusen, oder geht das sowieso nicht?

Stellt das ein Sicherheitsproblem dar, wenn man bei action nichts reinschreibt


Danke!

 

[Gumbo]

Das Formular selbst stellt keine Sicherheitslücke in dem Sinne dar. Es kommt viel mehr auf die Verarbeitung der Benutzereingaben an.

Das action-Attribut kannst du übrigens leer lassen.

 

[oldputz1990]

Ok, Danke!

Und wie siehts bei der Verarbeitung aus? (wenn du dich bei meinem Script auskennst *gg*)

http://nopaste.php-quake.net/4388

 

[splasch]

Generell alles was von aussen kommt ist als gefährlich einzustufen.Daher ist besonderes bei Werten die von Aussen kommen also die über das Formular abgeschickt werden(Post/Get)
Diese sachen alle vor der Weiterverabeitung gut prüfen.

Mfg Splasch

 

[oldputz1990]

Ist das genug?

mysql_real_escape_string(strip_tags($_POST['benutzername']))

 

[Gumbo]

Das sieht auf den ersten Blick recht gut aus.

 

[brainsucker]

du könntest noch prüfen ob die eingaben alphanumerisch sind oder nicht.

Wenn du z.B. nur IDs übergibts kannst du abfragen if(!ctype_digit($id)){echo "fehlerhafte eingabe;"}