Einzelnen Beitrag anzeigen
  #9  
Alt 06.01.2015, 15:03:54
Heinrich Heinrich ist offline
Member
 
Registriert seit: Feb 2006
Beiträge: 883
AW: Uploadscript für Bilder

Okay danke, das mit $_SERVER['PHP_SELF'] habe ich verstanden. Werde zukünftig $_SERVER['SCRIPT_NAME'] verwenden.

Wichtiger ist aber ja, dass ich das, was darüber (evt. manipuliert) reinkommt, kontrolliere. Mache ich bei Zahlen-Parametern mit
PHP-Code:
$id intval($_GET['id']); 
Bei sonstigem string mit Prüfung durch eine Whitelist bzw.
PHP-Code:
$string strip_tags($_GET['string']); 
Meint ihr, das ist sicher?

@Ckaos
Der Bildupload ist nur im geschützten CMS-Bereich; da habe ich die Übersicht über die Bildnamen. Aber du hast Recht - ich sollte das überschreiben noch ausschließen.
Mit Zitat antworten