Einzelnen Beitrag anzeigen
  #12  
Alt 04.11.2010, 15:46:27
Ckaos Ckaos ist offline
Member
 
Registriert seit: Nov 2007
Beiträge: 843
AW: Sessions und HTTP Auth

Hi

Zitat:
Zitat von R4Zz0R Beitrag anzeigen
Ähhm ... du entfernst die zeichen einfach ... dh. du machst das selbe wie ich mir str_replace
wobei eine regex warscheinlich performanter ist ...
Kannst du das belegen?
Zitat:
Zitat von R4Zz0R Beitrag anzeigen
bei post ist es auserdem weniger sinnvoll wenn du alles filterst und gegen nichts ersetzt also in dem fall es aus dem string löschst da der benutzer ja sicher auch gerne zeichen eingeben würde um seinen text zu formatieren oder code auf der seite zu präsentieren ...
Wie gesagt das waren die Anfänge...
Heute geht nix durch was nicht angefordert/registriert wurde.
Und was der Benutzer möchte oder nicht ist Sache der Aufgabe
und des Auftraggebers. Wenn ein Benutzer nach Rezeptnamen
suchen kann/darf brauch er nicht alle Zeichen oder?
Hab jedenfalls noch kein Kartoffel<;&%auflauf gelesen ;)
Zitat:
Zitat von R4Zz0R Beitrag anzeigen
so habe ich immer ein eigenstädiges array was nur für sql querys bereitsteht, und das laut meiner ausgabe ( & sql inject me :) ) auch recht sicher ist.
Is ja bei mir ebenso nur muss ich keine "arrays'" erfinden sie sind ja da
...........gesäubert ;)

Zitat:
kein semikolon, doppelpunkt, prozent- und dollar-zeichen...? sind doch alles bestandteile unserer "normalen" schriftsprache.
Wie gesagt Heute definier ich schon bei Erstellung eines Formularfelds
was es beinhalten darf und alles was nicht A-Z0-9 ist geht dann ->
Zitat:
mysql_real_escape_string zur maskierung in richtung db und htmlentities / htmlspecialchars zur ausgabe in html.
Logisch und nicht diskutierbar.

mfg

CKaos
__________________
"Wenn die Leute Häuser so bauen würden, wie wir Programme schreiben, würde der erstbeste Specht unsere Zivilisation zerhacken."
In den allermeisten Fällen sitzt der Bug etwa 40 cm vor dem Monitor!
Mit Zitat antworten