- 1
- 2
Beiträge: 393
Sprachen: C, VC# und PHP am Lernen; HTML/CSS
Themenstarter
10.03.2010, 12:00
Übersicht Sicherheitsvorkehrungen in Formularen
Hey Leute!
Was ich mit diesem sperrigen Titel meine, ist, dass es echt nett wäre, wenn ihr (damit meine ich die PHP-Cracks unter uns
) eine Übersicht erstellt, in der die Sicherheitsmaßnahmen für Formulare mit PHP erklärt werden.
Ich stelle mir das so vor, dass der Name der Funktion mit kurzer Berschreibung und einem wirklichen sinnvollen und verständlichen Beispiel angegeben wird.
Als Beispiel fällt mir hier die Funktion htmlspecialchars() ein, aber ich verstehe sie nicht ganz.
Und, das Wichtigste!, in einer Sprache, die jeder PHP-Anfänger (also ich z.B.) verstehen kann.
Im Vorraus schon mal vielen Dank!
VisualCreations
Was ich mit diesem sperrigen Titel meine, ist, dass es echt nett wäre, wenn ihr (damit meine ich die PHP-Cracks unter uns
) eine Übersicht erstellt, in der die Sicherheitsmaßnahmen für Formulare mit PHP erklärt werden.Ich stelle mir das so vor, dass der Name der Funktion mit kurzer Berschreibung und einem wirklichen sinnvollen und verständlichen Beispiel angegeben wird.
Als Beispiel fällt mir hier die Funktion htmlspecialchars() ein, aber ich verstehe sie nicht ganz.
Und, das Wichtigste!, in einer Sprache, die jeder PHP-Anfänger (also ich z.B.
) verstehen kann.Im Vorraus schon mal vielen Dank!
VisualCreations
Die Seite ist von mir erstellt: jotes-studios.de!
13.03.2010, 15:46
Dann mach ich mal den Anfang.
htmlspechialchars() ist eigentlich ausreichend beschrieben.
Folgende Zeichen werden umgewandelt:
& (Ampersand/kaufmännisches Und) wird zu &.
" (doppeltes Anführungszeichen) wird zu " , wenn ENT_NOQUOTES nicht gesetzt ist.
' (einfaches Anführungszeichen) wird nur zu ' , wenn ENT_QUOTES gesetzt ist.
< (kleiner als) wird zu <
> (größer als) wird zu >
Fangen wir mal von vorne an. In HTML benötigst du Zeichen, um Elemente zu erstellen. Ein Element besteht mindestens aus den Zeichen < und > . Würde der User nun in einem Formular diese Zeichen benutzen, und sie würden nicht umgewandelt, dann könnte der User beispielsweise auch <h1>Hallo</h1> eingeben. Probieren wir es mal aus und geben das ein.
Was passiert? Es wird eine Überschrift 1. Ordnung ausgegeben. Vielleicht ist das noch nicht so schlimm, aber stell dir mal vor, in einem Gästebuch posten die Leute genau das. Und es geht noch schlimmer. Beispielsweise könnte er CSS darüber senden:
Was passiert? Stell dir vor, das steht in einem Gästebucheintrag, dann ist die ganze Seite weg.
Noch nicht überzeugt? Versuchen wir mal etwas anderes einzugeben. Beispielsweise das hier:
. Und stell dir mal vor, dass die Seite nicht google.de ist, sondern eine andere Seite in der Javascript ist und eine Weiterleitung deiner Seite initiiert. Stell dir weiter vor, derjenige will an die Passwörter deiner User kommen und hat deine Website nachgebaut. Dann leitet er auf die nachgebaute Seite weiter und fragt den User nach Name und Passwort.
Damit das nicht passiert, werden diese Zeichen umgewandelt, sodass sie im Browser angezeigt werden und nicht Bestandteil des HTML-Quelltextes werden.
Jetzt funktionieren die Beispiele nicht mehr und es wird das angezeigt, was eingegeben wurde. Also beim letzten Beispiel mit dem iframe würde im Quelltext nun folgendes stehen:
Jetzt überzeugt?
htmlspechialchars() ist eigentlich ausreichend beschrieben.
Folgende Zeichen werden umgewandelt:
& (Ampersand/kaufmännisches Und) wird zu &.
" (doppeltes Anführungszeichen) wird zu " , wenn ENT_NOQUOTES nicht gesetzt ist.
' (einfaches Anführungszeichen) wird nur zu ' , wenn ENT_QUOTES gesetzt ist.
< (kleiner als) wird zu <
> (größer als) wird zu >
Fangen wir mal von vorne an. In HTML benötigst du Zeichen, um Elemente zu erstellen. Ein Element besteht mindestens aus den Zeichen < und > . Würde der User nun in einem Formular diese Zeichen benutzen, und sie würden nicht umgewandelt, dann könnte der User beispielsweise auch <h1>Hallo</h1> eingeben. Probieren wir es mal aus und geben das ein.
|
PHP-Quelltext |
1 2 3 4 5 6 7 8 |
<?php
if(isset($_POST['eingabe']))
echo $_POST['eingabe'];
?>
<form action="" method="post">
Eingabe <input type="text" name="eingabe" value="" />
<input type="submit" name="sent" value="Absenden" />
</form>
|
|
|
Quellcode |
1 |
<style type=text/css>body { display:none; }</style>
|
Noch nicht überzeugt? Versuchen wir mal etwas anderes einzugeben. Beispielsweise das hier:
|
|
Quellcode |
1 |
<iframe src=http://www.google.de></iframe> |
Damit das nicht passiert, werden diese Zeichen umgewandelt, sodass sie im Browser angezeigt werden und nicht Bestandteil des HTML-Quelltextes werden.
|
|
PHP-Quelltext |
1 2 3 4 5 6 7 8 |
<?php
if(isset($_POST['eingabe']))
echo htmlspecialchars($_POST['eingabe']);
?>
<form action="" method="post">
Eingabe <input type="text" name="eingabe" value="" />
<input type="submit" name="sent" value="Absenden" />
</form>
|
|
|
Quellcode |
1 |
<iframe src=http://www.google.de></iframe> |
Jetzt überzeugt?
Beiträge: 393
Sprachen: C, VC# und PHP am Lernen; HTML/CSS
Themenstarter
13.03.2010, 22:15
Ähmmmm, jaaa danke. Also, ich wollte eigentlich niemanden nerven 
So wie du es erklärst hört es sich ein wenig nach einem (leicht) genervten Professor an.
Aber danke, jetzt hab ich es auch verstanden
Gibt es noch mehr davon?
So wie du es erklärst hört es sich ein wenig nach einem (leicht) genervten Professor an.
Aber danke, jetzt hab ich es auch verstanden
Gibt es noch mehr davon?
Die Seite ist von mir erstellt: jotes-studios.de!
Beiträge: 393
Sprachen: C, VC# und PHP am Lernen; HTML/CSS
Themenstarter
14.03.2010, 11:38
Macht nichts
Kann ich verstehen.
Hab da noch ne Frage (wenn jemand Zeit hat):
Kann man htmlspecialchars() eig auch "speichern"?
Also so:
Die Frage ist jetzt halt, ob, wenn man die Variable weiter unten wieder verwendet (echo, oder auch in Datenbank speichern), die HTML-Zeichen immernoch verstellt sind. Also ob htmlspecialchars() sich dauerhaft anwenden lässt?
Kann ich verstehen.
Hab da noch ne Frage (wenn jemand Zeit hat):
Kann man htmlspecialchars() eig auch "speichern"?
Also so:
|
|
PHP-Quelltext |
1 2 3 4 |
$Anwender = htmlspecialchars($_POST["Anwender"]);
$E-Mail-Adresse = htmlspecialchars($_POST["E-Mail-Adresse"]);
$Homepage = htmlspecialchars($_POST["Homepage"]);
$Post = htmlspecialchars($_POST["Post"]);
|
Die Frage ist jetzt halt, ob, wenn man die Variable weiter unten wieder verwendet (echo, oder auch in Datenbank speichern), die HTML-Zeichen immernoch verstellt sind. Also ob htmlspecialchars() sich dauerhaft anwenden lässt?
Die Seite ist von mir erstellt: jotes-studios.de!
15.03.2010, 00:28
Erstmal, Variablennamen dürfen nicht aus Bindestrichen ( - ) bestehen, da sie als Subtraktions-Operator gelten.
Also dauerhaft zu speichern, also zur Laufzeit des Skripts, geht, indem du schreibst:
Um das wieder rückgängig zu machen, kann die Funktion htmlspecialchars_decode() benutzt werden. Sie wird genauso wie htmlspecialchars() angewendet.
Für das Abspeichern in einer Datenbank gibt es aber die nächste sicherheitsrelevante Funktion, die aber erst nach einen mysql_connect() aufgerufen werden kann.
Die Funktion entwertet Zeichen, die in einem SQL-Befehl wichtige Zeichen sind, genau wie in htmlspecialchars(). Die Funktion heißt mysql_real_escape_string() und erwartet als Parameter den String, der "entwertet" werden soll. Das sollte IMMER angewendet werden, da sonst die sogenannte MySQL-Injection-Gefahr besteht.
Wichtig ist, dass mysql_real_escape_string() erst NACH mysql_connect() aufgerufen werden kann!
Also dauerhaft zu speichern, also zur Laufzeit des Skripts, geht, indem du schreibst:
|
|
PHP-Quelltext |
1 |
$_POST['daten'] = htmlspecialchars($_POST['daten']);
|
Für das Abspeichern in einer Datenbank gibt es aber die nächste sicherheitsrelevante Funktion, die aber erst nach einen mysql_connect() aufgerufen werden kann.
Die Funktion entwertet Zeichen, die in einem SQL-Befehl wichtige Zeichen sind, genau wie in htmlspecialchars(). Die Funktion heißt mysql_real_escape_string() und erwartet als Parameter den String, der "entwertet" werden soll. Das sollte IMMER angewendet werden, da sonst die sogenannte MySQL-Injection-Gefahr besteht.
|
|
PHP-Quelltext |
1 |
$sql = 'SELECT `TEBELLENSPALTE` FROM `TABELLE` WHERE `TABELLENSPALTE` = "'.mysql_real_escape_string($_POST['daten']).'";';
|
Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von »ronsn« (15.03.2010, 01:18)
Beiträge: 393
Sprachen: C, VC# und PHP am Lernen; HTML/CSS
Themenstarter
15.03.2010, 15:07
Ahh OK. Danke.
Zur ersten Möglichkeit:
Ich könnte also das machen:
Um die Daten dauerhaft "entschädigt" zu haben.
Zum zweiten Punkt:
Danke, werd ich einbinden.
Zur ersten Möglichkeit:
Ich könnte also das machen:
|
|
PHP-Quelltext |
1 2 3 |
$_POST['daten'] = htmlspecialchars($_POST['daten']);
$Name = $_POST['daten'];
|
Um die Daten dauerhaft "entschädigt" zu haben.
Zum zweiten Punkt:
Danke, werd ich einbinden.
Die Seite ist von mir erstellt: jotes-studios.de!
15.03.2010, 20:17
|
|
PHP-Quelltext |
1 2 3 |
$_POST['daten'] = htmlspecialchars($_POST['daten']);
$Name = $_POST['daten'];
|
Huch, dann hab ich dich falsch verstanden. Mal angenommen in $_POST['daten'] soll der Name von irgendwem stehen, dann reicht folgendes aus:
|
|
PHP-Quelltext |
1 |
$Name = htmlspecialchars($_POST['daten']);
|
So weist du der Variablen $Name den konvertierten String aus $_POST['daten'] zu.
Vielleicht liegt das auch an einem Verständnisproblem mit Rückgabewerten. Das was in der Funktion "berechnet" wird, wird zurückgegeben. Die angehängte Grafik zeigt mit einem grünen Pfeil, wohin das "berechnete" gegeben wird.
Somit wird auch klar, wenn du schreibst
|
|
PHP-Quelltext |
1 |
$Name = htmlspecialchars($_POST['daten']);
|
- 1
- 2
Ähnliche Themen
-
Foren-News & Bugreport »-
Verbesserung/Meinung/Wunsch abgeben und Belohnung abstauben!
(06.04.2009, 17:26)
-
- Fragen über Fragen »
-
Eigene (professionelle) Homepage erstellen
(07.08.2009, 14:11)
-
- Foren-News & Bugreport »
-
Benutzerränge (Titel)
(07.07.2009, 22:08)
-
- Superglobals - Supervariablen »
-
Abfrage von $_GET [ ] Variablen
(08.12.2007, 23:16)
-
- Superglobals - Supervariablen »
-
Formularabfrage mit $_POST [ ]
(08.12.2007, 22:56)