An alle Modulentwickler...!

Darth-Vader · Beitrag von **Darth-Vader** » Sa 31. Jan 2004, 23:45

Ich hab mir jetzt schon mehrere Module angesehen und stelle immer wieder fest, dass diese zwar gut aussehen, gut funktionieren, etc. aber dennoch unsicher sind! Und deswegen musste ich bis jetzt jedes Modul, dass ich mir geholt hab umschreiben oder anpassen...

Hier mal en Link, der sehr informativ sein dürfte:
http://www.heise.de/security/artikel/43175

nix für Ungut,
so long Darth.

PickPay · Beitrag von **PickPay** » Mo 2. Feb 2004, 09:04

Ich verwende immer addslashes(); und ein paar preg_replace();-Muster, das funktioniert eigentlich gut!

Aber bei mir werden die Slashes sowieso von Serverseite bei allen Eingaben von aussen (POST, GET, COOKIE) gesetzt, so dass es eigentlich kein Problem sein sollte. Bei den meisten Providern ist das eigentlich aus dem Sicherheitsgrund auch so eingestellt (php.ini)!

timo · Beitrag von **timo** » Mo 2. Feb 2004, 09:07

pickpay: sehe ich genauso.

Ryson · Beitrag von **Ryson** » Sa 6. Mär 2004, 00:51

string mysql_escape_string ( string unescaped_string)

Diese Funktion maskiert unescaped_string zur sicheren Benutzung in mysql_query().

Darth-Vader · Beitrag von **Darth-Vader** » Sa 6. Mär 2004, 02:20

thx für den hinweis,

ich guck mir diese funktion bei gelegenheit mal näher an, wobei mir momentan immer noch "die Hand-zu-Fuß-Methode" lieber ist, weil ich da genau sehe, was mit dem String passiert, weil ich ihn ja selbst per regexp und / oder strreplace filtern tuhe...