PHP: Ã?bergebene Variablen prüfen
Posted: 2003-07-17 11:29
Hi!
Ich prüfe in einem Projekt alle mit Post/Get übergebenen Veriablen über eine selbstgeschriebene Funktion auf Gültigkeit (und hole sie direkt auf dem $HTTP_POST_VARS-Array):
1. Entferne _or_ (_= Space), um keine SQL-Statments ala ' or 1=1' entstehen zu lassen.
2. Entferne alle "illegalen" Zeichen
3. Kürze mit substr alle Variablen auf die maximale Länge (in der Hoffnung, einen buffer-overflow vorzubeugen).
Hat jemand Erfahrung welche Sicherheitsmassnahmen man (noch) ergreifen sollte, um 'netten' Besuchern seines Skriptes das Ã?berpüfen auf Sicherheitslücken zu vermiessen?
Gruß
Ich prüfe in einem Projekt alle mit Post/Get übergebenen Veriablen über eine selbstgeschriebene Funktion auf Gültigkeit (und hole sie direkt auf dem $HTTP_POST_VARS-Array):
1. Entferne _or_ (_= Space), um keine SQL-Statments ala ' or 1=1' entstehen zu lassen.
2. Entferne alle "illegalen" Zeichen
3. Kürze mit substr alle Variablen auf die maximale Länge (in der Hoffnung, einen buffer-overflow vorzubeugen).
Hat jemand Erfahrung welche Sicherheitsmassnahmen man (noch) ergreifen sollte, um 'netten' Besuchern seines Skriptes das Ã?berpüfen auf Sicherheitslücken zu vermiessen?
Gruß