Hallo liebe community
ich habe auf meiner gebastelten seite mit db usw sehr viele orte wo die besucher zeugs eingeben können ( formulare etc ) und natürlich auch die seitensteuerung über GET alá ?site=blabla ....
währ ja auch alles kein thema wenns keine bösen leute geben würde, die meinen mit XSS , SQL-injektion und was es da sonst noch gibt, anderen leuten den spaß am scripten nehmen zu müssen.
das includen ( GET alá ?site=blabla ) hab ich im moment so gelöst:
was ich auch recht sicher finde, aber ich lasse mich da auch gerne eines besseren belehren.
So, nur was ist mein problem ?
ganz einfach, ich suche eine art all-in-one überprüfung für so sachen wie formulareingaben usw...
also eine art funktion, die ALLES rausfiltert, von unerwünschten sql injektions ... html ... einfach alles.
bei mir auf der seite sollen NUR ganz normaler text eingegeben werden.
kann man das alles in eine funktion packen ? oder kommt es dann zu problemen ?
ich hab mir schonmal überlegt alles unerwünschte mit strreplace oder so einfach rauszulöschen. aber was es alles an zeichen gibt, is ja unheimlich.
vllt gibt es ja eine möglichkeit "whitelist ähnlich" NUR dieße zeichen a-z A-Z 0-9 zu erlauben ?
ich hoffe ihr könnt verstehen was ich suche, und hoffe auf einige kompetente ratschläge.
ps: bitte keine kommentare wie "google doch mal".... das hab ich schon, und auch unzähliche sachen gefunden ... aber irgendwie nur "spezielle" wie für sql die escape funktion usw...
ich habe auf meiner gebastelten seite mit db usw sehr viele orte wo die besucher zeugs eingeben können ( formulare etc ) und natürlich auch die seitensteuerung über GET alá ?site=blabla ....
währ ja auch alles kein thema wenns keine bösen leute geben würde, die meinen mit XSS , SQL-injektion und was es da sonst noch gibt, anderen leuten den spaß am scripten nehmen zu müssen.
das includen ( GET alá ?site=blabla ) hab ich im moment so gelöst:
PHP Code:
if (isset($_GET['site']))
{
$xpage = basename($_GET['site']);
$tpage = 'content/' . $xpage . '.php';
if (file_exists($tpage))
{
$page = $tpage;
}
}
include($page);
So, nur was ist mein problem ?
ganz einfach, ich suche eine art all-in-one überprüfung für so sachen wie formulareingaben usw...
also eine art funktion, die ALLES rausfiltert, von unerwünschten sql injektions ... html ... einfach alles.
bei mir auf der seite sollen NUR ganz normaler text eingegeben werden.
kann man das alles in eine funktion packen ? oder kommt es dann zu problemen ?
ich hab mir schonmal überlegt alles unerwünschte mit strreplace oder so einfach rauszulöschen. aber was es alles an zeichen gibt, is ja unheimlich.
vllt gibt es ja eine möglichkeit "whitelist ähnlich" NUR dieße zeichen a-z A-Z 0-9 zu erlauben ?
ich hoffe ihr könnt verstehen was ich suche, und hoffe auf einige kompetente ratschläge.
ps: bitte keine kommentare wie "google doch mal".... das hab ich schon, und auch unzähliche sachen gefunden ... aber irgendwie nur "spezielle" wie für sql die escape funktion usw...
Comment