[HaBo]

ByteSurfer · 01.05.11, 08:07

moin community,
ich habe mich momentan mal wieder mit der sicherheit von webanwendungen
beschäftigt. (Buch, Foren, usw...)

folgende Themathiken habe ich auf gegriffen
- validieren von user input (regex)
- decode/encode URL (%00)
- klar xss/csrf

ich möchte direkt mal fragen, wie prüft ihr die Usereingaben/die URL und in welchen Umfang prüft ihr diese bzw. wie fangt ihr diese ab?

Weil eine Expression nach [a-zA-Z0-1] auch nur nach diesen zeichen sucht, nicht aber nach z.B.: \000 or \x00 ...
und soweit ich das weis ist der beste weg die untersuchung der Daten via Regex bzw. mit htmlencode/decode abändern oder oder oder ...

Gezielt gefragt: wie kann man es am besten verhindern das eingegebene Daten durch manipulation dritter ausbrechen können ?

Danke vorab, und einen frohen 1.Mai ...

easteregg · 01.05.11, 11:11

also wenn ich urls prüfen will, die via modrewrite reinkommen, dann mach ich fast nix. weil die werden bei mir auf objektmethoden umgebogen und wenn die nich public sind, dann wars das und es passiert einfach nichts.

wenn ich da aber ne id übegebe wird das explizit gecastet, ob ich nun nen string, nen int oder was auch immer haben will.
hier kommts eben auch drauf an, wie die webanwendung arbeitet.

aber mit regexp würd ich da zaghaft umgehen, da es meiner meinung nach etwas mit kanonen auf spatzen ist.

xss kannste ja einfach mit htmlentities abfangen und zum csrf einfach mit ids in den forms arbeiten, die valide sein müssen.

Anzeige

- Anzeige -

01.05.11, 08:07	#1 (permalink)
ByteSurfer Registriert seit: 30.03.07 Likes: 17	user input validieren (php) Anzeige moin community, ich habe mich momentan mal wieder mit der sicherheit von webanwendungen beschäftigt. (Buch, Foren, usw...) folgende Themathiken habe ich auf gegriffen - validieren von user input (regex) - decode/encode URL (%00) - klar xss/csrf ich möchte direkt mal fragen, wie prüft ihr die Usereingaben/die URL und in welchen Umfang prüft ihr diese bzw. wie fangt ihr diese ab? Weil eine Expression nach [a-zA-Z0-1] auch nur nach diesen zeichen sucht, nicht aber nach z.B.: \000 or \x00 ... und soweit ich das weis ist der beste weg die untersuchung der Daten via Regex bzw. mit htmlencode/decode abändern oder oder oder ... Gezielt gefragt: wie kann man es am besten verhindern das eingegebene Daten durch manipulation dritter ausbrechen können ? Danke vorab, und einen frohen 1.Mai ...

01.05.11, 11:11	#2 (permalink)
easteregg Member of Honour Registriert seit: 14.09.07 Likes: 62	also wenn ich urls prüfen will, die via modrewrite reinkommen, dann mach ich fast nix. weil die werden bei mir auf objektmethoden umgebogen und wenn die nich public sind, dann wars das und es passiert einfach nichts. wenn ich da aber ne id übegebe wird das explizit gecastet, ob ich nun nen string, nen int oder was auch immer haben will. hier kommts eben auch drauf an, wie die webanwendung arbeitet. aber mit regexp würd ich da zaghaft umgehen, da es meiner meinung nach etwas mit kanonen auf spatzen ist. xss kannste ja einfach mit htmlentities abfangen und zum csrf einfach mit ids in den forms arbeiten, die valide sein müssen. __________________ » Flattr mich! - Wenn dir mein Beitrag geholfen hat! « <\| 2 AMD Opterons 2384@ 8x3,2ghz \| Tyan S2915 \| 10GB \| 2x 8800GT \| 8400GS \| Dell 3008WFP + 2x2007FP \|>

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

[HaBo]

user input validieren (php)