Sicherheit?

[hhunderter]

Also man speichert ja viel so inner Datenbank, und man sollte ja bevor man ja speichert den einzutragenden Wert ja abfragen.
jetzt hab ich dazu 2 Fragen:

1. Reicht es wenn man zb bei einem Username die akzeptierte zeichen zu überprüfen zb so:

eregi("^[a-zA-Z0-9]+$",$Username)

oder muss ich auch noch auf was anderes überprüfen?
2. Ob es Reicht bei Texten nur die zeichen zu entschärfen : ">" und "<"?

 

[Gumbo]

Genanntes prüft bereits, ob der Wert von $Username nur aus einem oder mehr Zeichen der Zeichenmenge a–z, A–Z und 0–9 besteht.
Zudem kenne ich kein Datenbanksystem, in dem die Zeichen > und < innerhalb von Zeichenketten maskiert werden müssten. Das sind eher nur die Zeichen ", ' und \.

 

[Brodreiner]

@ 1. Ja, das reicht.

@ 2.
Bevor du Text, der vom Benutzer eingegeben wird in einer Datenbank speicherst, solltest du ihn mit der PHP-Funktion mysql_real_escape_string() maskieren.
Dadurch kannst du eine SQL_Injection seitens bösartiger Benutzer verhindern.