/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
hackere/spammere og formfields
Fra : John Kjoller


Dato : 19-05-06 19:20

Hvordan er det nu; der er noget med at hackere/spammere kan bruge
form-fields, til.... et eller andet....

Hvordan undgår jeg det?

Det må vel være noget med at jeg tjekker og fjerner, "farligt" input fra et
givent field, -eller hvad?

Nogen sagde til mig at jeg skal fjerne "\" fra input-strengen. - Er det
korrekt, og er det nok at nøjes med at fjerne det?

Og kan hackere/spammere bruge mine formfields, selvom der bare er tale om et
formfield som skriver input strengen ind i en mysql database, og vises som
gæstebogs indslag?

Mine sider er skrevet i php.

Mange venlige hilsener
fra
John




 
 
Michael Rasmussen (19-05-2006)
Kommentar
Fra : Michael Rasmussen


Dato : 19-05-06 19:47

On Fri, 19 May 2006 20:20:24 +0200, John Kjoller wrote:

> Hvordan undgår jeg det?
>
http://dk.php.net/manual/da/function.mysql-real-escape-string.php

> Det må vel være noget med at jeg tjekker og fjerner, "farligt" input fra
> et givent field, -eller hvad?
>
> Nogen sagde til mig at jeg skal fjerne "\" fra input-strengen. - Er det
> korrekt, og er det nok at nøjes med at fjerne det?
>
Hvis du benytter ovenstående funktion, hver gang inden du indsætter data
i MySQL, har du sikret dig mod sql-injection.

Herudover bør du også benytte html_specialchars, førend du udskriver
tekst på en hjemmeside, hvis teksten der skal udskrives, er input fra
brugerne. Dette gælder selvfølgeligt også, hvis tekst tidligere er gemt
i en database - mysql f.eks, hvor du har fjernet problematiske tegn med
mysql_real_escape_string, da denne funktion ikke renser problematiske
html-tegn ud. http://dk.php.net/manual/da/function.htmlspecialchars.php

En god tommelfingerregel: Indtil brugerinput er valideret, skal det
betragtes som værende skadeligt.

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917


Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408926
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste