User_Eingaben pfüfen

  • Hallo,


    bevor ich das Script, welches ich nutzen werde, hier rein Kopiere erstmal die Frage:
    Sollte ich den code posten, oder besser nicht, da es andere nutzen könnten, um Schaden anzurichten?


    Ich denke mal es sollte kein Problem sein, frage aber lieber immer vorher =)

  • Ob du ihn nun postest oder nicht, ich nehme mal mich als Beispiel:


    Ich kenne an sich alle Funktionen die dir beim filtern nützlich sein könnten, also ist es auch ohne Code nur eine Frage der Zeit bis ich weiß wie dein Code arbeitet.


    Wichtig zu wissen ist aber: Wenn du ordentlich arbeitest kann man, auch wenn dein Code bekannt ist, sowieso keinen Schaden anrichten.

  • Danke für die schnellen Antworten =)








    k, hier ist mal ohne "Kram" drum rum das, was ich mit der Eingabe mache:







    Dachte dann noch daran die Sachen, die ich bei http://www.php-kurs.com/php-und-sicherheit.htm gelesen hab, mit einzubauen.


    Wie zB in der php.ini




    log_errors = On


    error_log = "..."


    und was noch so bei "Sicherheit durch Verschleierung und Verstecken von Informationen" steht.




    Überigens: Immer wenn ich auf "Vorschau" beim Post erstellen klicke, fügt es mehr und mehr Leerzeilen dazu.


    oO?


    Nutze die aktuelle vers. von Opera falls es hilft.



    EDIT;
    Noch eine Frage:
    Ich hab im moment immer, alles was ich zu speichern hatte, in .dat oder .txt Dateien geschrieben.
    SQL db hab ich mir noch nicht angesehen, da ich der Sicherheit wegen noch nicht bescheid weiss.


    In einer .dat Datei hatte ich bis zu 50.000 Einträge (Bsp: 1, x, 123, abc, 321), aber es gab keine Probleme soweit.
    Was wäre der Vorteil bei der Nutzung von SQL ?

  • erstmal: schreib doch der Einfachheit halber alle Variablen (außer sowas wie Session und Post natürlich) und Indexe und was auch immer klein. Das vermeidet Fehler und macht es für dich einfacher.


    Zweitens: Ich weiß jetzt nicht ob es nur ein abtipp-Fehler ist aber, wie soll dein Code funktionieren, wenn du in Zeile 39 den PHP-Code-Teil beendest? Und was ist das in Zeile 43?

  • Mein Fehler. Da war HTML im php-quote mit drin.
    Hier nochmal richtig:



    HTML
    <form name="PlayerName" action="EINGABE_PRUEFEN.php" method="POST" enctype="text/html">
    <input type="text" name="NickName" value="<? if (isset($_SESSION['NickName'])){echo $_SESSION['NickName'];} ?>" size="25" maxlength="25" />
    <input type="Submit" value="send" />
    </form>


  • EINGABE_PRUEFEN.php is das, was ich geposted hab.
    Es ruft sich selbst aus, so wie ichs in den Videos gelernt hab =)


    Die Frage ist: Muss ich irgentetwas hinzufügen, um es sicherer zu machen?
    Man kann ja lesen und lesen, aber irgentjemand hat ja evtl noch mehr Ideen =)

  • Dafür müsste man noch wissen was du mit den Daten machst.. in der Regel ist sowas wie mysql_real_escape_string noch angebracht, auf jedenfall bevor irgendwas in eine Datenbank geschrieben wird.


    Und schreib doch Dateinamen bitte klein...

  • MSQL nutze ich momentan noch nicht. Soweit bin ich noch nicht ;D
    Schreibe alles in .dat oder .txt mit serialize() und unserialize(), oder auch explode() ect.


    Normalerwiese schreib ich Dateinamen auch klein. Hab das Script hier nur gross geschrieben, damit ich es in meinem Kaos schnell finde.
    Also über das Eingabefeld kann mir keiner was anrichten?



    Zu ganzen Programm:
    - ein einziges Eingabefeld für NickNames
    - Daten laden über verschiedene APIs
    - Daten auswerten
    - Ergebnis anzeigen


    Dabei dachte ich auch daran den NickName über GET in der url zu nehmen um den Usern die Möglichkeit zu geben Links zu nutzen.
    Hoffe das ist kein Fehler. Hier der code den ich mir dafür gedacht hab:

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!