[HaBo]

valenterry · 13.01.07, 22:48

Hi,
Ich habe mir zu Lernzwecken ein kleines Gästebuch gemacht und wollte mal von euch wissen, ob die Validierung der Benutzereingaben richtig/vollständig ist.
Hier der Code:

PHP-Code:

  if(!isset($name) || !isset($titel) || !isset($eintrag))
{
    die("Deine Eingaben sind unvollständig.");
}

if(!is_string($name) || !is_string($titel) || !is_string($eintrag))
{
    die("Deine Eingaben sind unvollständig.");
}

if(trim($name)=="" || trim($titel)=="" || trim($eintrag)=="")
{
    die("Es müssen alle Felder ausgefüllt werden.");
}


//Besondere HTML-Zeichen ersetzen.
$titel = htmlentities($titel);
$name = htmlentities($name);
$eintrag = htmlentities($eintrag);


//Zeilenumbrüche richtig darstellen.
$titel = nl2br($titel);
$name = nl2br($name);
$eintrag = nl2br($eintrag);


//Leerzeichen richtig darstellen.
$titel = str_replace(' ', ' &nbsp; ', $titel);
$name = str_replace(' ', ' &nbsp; ', $name);
$eintrag = str_replace(' ', ' &nbsp; ', $eintrag);


//Bei zu langen Wörtern einen Zeilenumbruch erzwingen, um das Layout zu bewahren.
$titel = wordwrap( $titel, 80, "\n", 1 );
$name = wordwrap( $name, 80, "\n", 1 );
$eintrag = wordwrap( $eintrag, 80, "\n", 1 );


//Vor SQL-injektion schützen.
$titel = mysql_escape_string($titel);
$name = mysql_escape_string($name);
$eintrag = mysql_escape_string($eintrag);

LX · 13.01.07, 23:18

Erstmal als allgemeiner Hinweis: Da du mit allen 3 Eingaben dasselbe machst, kannst du das auch in eine Funktion packen, der du dann eine der 3 Felder jeweils als Parameter übergibst. Fehlerausgaben solltest du nach Möglichkeit nu auch net mit die() machen, sondern einen Fehlerstring ausgeben an entsprechender Stelle. Ob is_string() nun nötig ist, darüber kann man auch streiten. Achja, und deine Auswertung sieht ein bisschen aus, als ob register_globals aktiviert sein muss, das würde ich auch ausbessern.

Etwas aufbereitet mit meinen Vorschlägen sähe das dann etwa so aus (ungetestet):

PHP-Code:

  <?php

function prepare_input ( $string )
{
    if ( empty ( trim ( $string ) ) )
        return false;

    $string = htmlentities ( $string );
    $string = nl2br ( $string );
    $string = wordwrap ( $string, 80, ' ', 1 );
    $string = mysql_escape_string ( $string );

    return $string;
}

$name    = prepare_input ( $_POST [ 'name'    ] );
$titel   = prepare_input ( $_POST [ 'titel'   ] );
$eintrag = prepare_input ( $_POST [ 'eintrag' ] );

if ( $name === false || $titel === false || $eintrag === false )
{
    // Fehlerausgabe, aber bitte net mit die() ;)
}
else
{
    // in die Datenbank damit
}

?>

Vorteil dabei: die Funktion kannst du auslagern und von beliebiger Stelle aus aufrufen, um alle möglichen Benutzereingaben aufzubereiten... vielleicht willst du ja noch andere Formulare auf deiner Website auswerten. In puncto Sicherheit ist dabei aber an alles gedacht.

Anzeige

- Anzeige -

valenterry · 13.01.07, 23:37

Danke, das ist ne gute Idee.
Kann ich eigentlich die Funktion auch in eine Datei schreiben und diese dann mit include einbinden? Gibt es da etwas zu beachten?
Du meintest ja, ich soll kein die() benutzen, aber wieso nicht?
Wie soll ich denn stattdessen das Script abbrechen?
Und noch zu dem register_globals. Das ist bei mir (natürlich) nicht aktiviert. Verlangt das etwa eine von den verwendeten Funktionen?

LX · 13.01.07, 23:51

Zitat:

Original von valenterry
Kann ich eigentlich die Funktion auch in eine Datei schreiben und diese dann mit include einbinden?

Das meinte ich mit "auslagern".

Zitat:

Du meintest ja, ich soll kein die() benutzen, aber wieso nicht?
Wie soll ich denn stattdessen das Script abbrechen?

Abbrechen gar nicht. Gute Software bricht nicht einfach ab, wenn irgendwas passiert, womit sie nicht klarkommt, sondern arbeitet weiter und gibt an passender Stelle eine schön formatierte Fehlermeldung aus. die() beendet rabiat jegliche Ausgaben, allerdings wäre es natürlich praktischer, du würdest deine Seite ausgeben wie immer, eventuell sogar nochmal das Formular anzeigen und einfach nur eine Fehlermeldung dabei stehen haben, in der dem Nutzer dann erklärt wird, was er falsch gemacht hat.

Zitat:

Und noch zu dem register_globals. Das ist bei mir (natürlich) nicht aktiviert. Verlangt das etwa eine von den verwendeten Funktionen?

Nein, aber deine unmittelbare Abfrage auf isset($name) statt z.B. isset($_POST['name']) suggeriert, dass du mit register_globals=on rechnest.

Anzeige

- Anzeige -

13.01.07, 22:48	#1 (permalink)
valenterry Registriert seit: 25.07.06 Likes: 0	Benutzereingaben richtig überprüft? Anzeige Hi, Ich habe mir zu Lernzwecken ein kleines Gästebuch gemacht und wollte mal von euch wissen, ob die Validierung der Benutzereingaben richtig/vollständig ist. Hier der Code: PHP-Code: if(!isset($name) \|\| !isset($titel) \|\| !isset($eintrag)) { die("Deine Eingaben sind unvollständig."); } if(!is_string($name) \|\| !is_string($titel) \|\| !is_string($eintrag)) { die("Deine Eingaben sind unvollständig."); } if(trim($name)=="" \|\| trim($titel)=="" \|\| trim($eintrag)=="") { die("Es müssen alle Felder ausgefüllt werden."); } //Besondere HTML-Zeichen ersetzen. $titel = htmlentities($titel); $name = htmlentities($name); $eintrag = htmlentities($eintrag); //Zeilenumbrüche richtig darstellen. $titel = nl2br($titel); $name = nl2br($name); $eintrag = nl2br($eintrag); //Leerzeichen richtig darstellen. $titel = str_replace(' ', '   ', $titel); $name = str_replace(' ', '   ', $name); $eintrag = str_replace(' ', '   ', $eintrag); //Bei zu langen Wörtern einen Zeilenumbruch erzwingen, um das Layout zu bewahren. $titel = wordwrap( $titel, 80, "\n", 1 ); $name = wordwrap( $name, 80, "\n", 1 ); $eintrag = wordwrap( $eintrag, 80, "\n", 1 ); //Vor SQL-injektion schützen. $titel = mysql_escape_string($titel); $name = mysql_escape_string($name); $eintrag = mysql_escape_string($eintrag);

13.01.07, 23:18	#2 (permalink)
LX Moderator Registriert seit: 14.02.06 Likes: 21	Erstmal als allgemeiner Hinweis: Da du mit allen 3 Eingaben dasselbe machst, kannst du das auch in eine Funktion packen, der du dann eine der 3 Felder jeweils als Parameter übergibst. Fehlerausgaben solltest du nach Möglichkeit nu auch net mit die() machen, sondern einen Fehlerstring ausgeben an entsprechender Stelle. Ob is_string() nun nötig ist, darüber kann man auch streiten. Achja, und deine Auswertung sieht ein bisschen aus, als ob register_globals aktiviert sein muss, das würde ich auch ausbessern. Etwas aufbereitet mit meinen Vorschlägen sähe das dann etwa so aus (ungetestet): PHP-Code: <?php function prepare_input ( $string ) { if ( empty ( trim ( $string ) ) ) return false; $string = htmlentities ( $string ); $string = nl2br ( $string ); $string = wordwrap ( $string, 80, ' ', 1 ); $string = mysql_escape_string ( $string ); return $string; } $name = prepare_input ( $_POST [ 'name' ] ); $titel = prepare_input ( $_POST [ 'titel' ] ); $eintrag = prepare_input ( $_POST [ 'eintrag' ] ); if ( $name === false \|\| $titel === false \|\| $eintrag === false ) { // Fehlerausgabe, aber bitte net mit die() ;) } else { // in die Datenbank damit } ?> Vorteil dabei: die Funktion kannst du auslagern und von beliebiger Stelle aus aufrufen, um alle möglichen Benutzereingaben aufzubereiten... vielleicht willst du ja noch andere Formulare auf deiner Website auswerten. In puncto Sicherheit ist dabei aber an alles gedacht. __________________ "Ever tried. Ever failed. No matter. Try again. Fail again. Fail better." - Samuel Beckett JS BB LX UP

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Online Aktivität wird überprüft	Olympus79	(In)security allgemein	20	31.10.07 13:36
wie überprüft eine Trial ob man sie noch nutzen kann	vortex	Applikationen	5	27.10.06 20:40
Netzwerkverknüpfungen werden nicht überprüft	Guyfawkes	Windows	3	27.11.04 12:23
richtig lernen	TheVoid	(In)security allgemein	16	23.10.04 00:28

13.01.07, 23:37	#3 (permalink)
valenterry Themenstarter Registriert seit: 25.07.06 Likes: 0	Danke, das ist ne gute Idee. Kann ich eigentlich die Funktion auch in eine Datei schreiben und diese dann mit include einbinden? Gibt es da etwas zu beachten? Du meintest ja, ich soll kein die() benutzen, aber wieso nicht? Wie soll ich denn stattdessen das Script abbrechen? Und noch zu dem register_globals. Das ist bei mir (natürlich) nicht aktiviert. Verlangt das etwa eine von den verwendeten Funktionen?

[HaBo]

Benutzereingaben richtig überprüft?