Variablen bereinigen

Variablen, die über Webformulare übermittelt werden, müssen immer bereinigt/sanitisiert werden, bevor sie in irgendeiner Weise verwendet werden, um böswillige Absichten aller Art zu verhindern.

Technik #1

function clean($value) {

       // If magic quotes not turned on add slashes.
       if(!get_magic_quotes_gpc())

       // Adds the slashes.
       { $value = addslashes($value); }

       // Strip any tags from the value.
       $value = strip_tags($value);

       // Return the value out of the function.
       return $value;

}

$sample = "<a href='#'>test</a>";
$sample = clean($sample);
echo $sample;

Kommentare

Magictallguy

# 14. Juli 2014

Das ist ein guter Anfang, aber er ist bei weitem nicht so effizient, wie er im heutigen PHP-Gebrauch sein muss.
Schauen Sie sich htmlspecialchars() und/oder htmlentities(), stripslashes() und (für Datenbankbenutzer) mysqli_real_escape_string() an

Beispielverwendung

function clean($str, $entities = true) {
    // Strip user-added slashes
    $str = stripslashes($str);

    // Optional "overkill" - remove *all* backslashes
    $str = str_replace('\\', '', $str);

    // Strip tags
    $str = strip_tags($str);

    // If entities = true, make the string XSS safe (to a degree)
    if($entities == true)
        $str = htmlspecialchars($str);

    // Return the string
    return $str;
}

Ich würde dies nur bei der Ausgabe empfehlen.
Wenn Sie Daten in eine Datenbank übermitteln (z. B. einen Kommentar posten), dann escapen Sie Ihre Daten!!

// Assuming you're already connected to the database using procedural mysqli
$_POST['user_posted_data'] = mysqli_real_escape_string($conn, $_POST['user_posted_data'];
// Then query the database.

Natürlich würde ich PDO gegenüber mysqli_*()-Funktionen befürworten, da diese automatisch escapen (mangels besserer Beschreibung)

Antworten

elamigosam

# 4. August 2017

Gibt es Lösungen für die heutige PHP-Version?
danke

Antworten

Technik #1

Kommentare

Hinterlassen Sie eine Antwort Antwort abbrechen