Sicherheit: Welche Zeichen aussperren

[verrückter]

Hi,
habe ein frei zugängliches Formular( oder will es machen trifft es vielleicht besser) welches Daten in eine Datenbank schreibt, diese Sollen nachher ausgelesen werden. Es gibt an sich keine enorm wichtigen Datensätze da drinne, aber die mail adresse muss nicht jeder sehen können. Es gibt ja nuneinmal die möglichkeit in solch ein Formular einen Quellcode zu schreiben um an diese Daten zu kommen.
Welche Zeichen müsste ich dafür unterdrüücken, damit dies nicht passieren kann? Reicht es " und ' zu sperren oder muss ich auch noch andere sperren?
Danke

[c4]

Leichter ist es, wenn Du alles rausfilterst, was nicht dem entspricht, was Du willst.
Im Klartext: willst Du prüfen, ob 'ne Nutzerkennung korrekt ist, dann prüfst Du nicht, ob kein ", kein ', kein =, kein &, kein ... vorkommt, sondern Du prüfst, ob NUR a-z, A-Z und 0-9 vorkommt.

So solltest Du das auch hier machen. Überlege Dir, welche Zeichen vorkommen dürfen/können und prüfe, ob irgendwas vorkommt, das Du nicht willst.


PS: Reguläre Ausdrücke sind Dein Freund... ;)

[verrückter]

Muss ich ereg dazu benutzen?
Falls ja, kannst du mir einen anderen Link schicken? Den versteh ich nicht.

Danke

[c4]

Besser ist preg_*:
--> http://php.net/preg_match

Andere Doku:
--> http://tut.php-q.net/regex.html

[verrückter]

PHP-Code:

extract($_POST);
echo $artikel;            echo "<br>motorrad: ";
echo $motorrad;            echo "<br>typ: ";
echo $typ;                echo "<br>preis: ";
echo $preis;            echo "&euro; <br>Baujahr: "; 


ich weiss, ist kein Sauberer Code, ich könnte es alles in ein echo packen, aber da ich noch beim planen bin und beim ausprobieren bzw lernen mache ich es lieber sehr einfach und schreibe es nachher um.
So nun möchte ich gerne diese Variablen untersuchen, ob sie nur a-zA-Z0-9 haben.
Aber so richtig verstehen tue ich das noch nicht. Ich will, dass wenn nicht nur diese Zeichen eingegeben wird eine fehlermeldung kommt, nicht aber eine Zahl ausgegeben wird.
Das verwirrt mich etwas.

[c4]

Zeig mal den Code, den Du zur Überprüfung hast.

[verrückter]

Ich habe keinen, deshalb die blöden Fragen meiner Seits.
Ich hatte gehofft, dass es einfach mit einer if Schleife zu lösen wäre oder so.
Sagen wir mal ich habe folgendes:

PHP-Code:

<?
$name1 = "ich99";
$name2 = "du_89";

Und nun weiss ich nicht, was ich machen muss.
ich will, dass er mir eine Fehlermeldung beim _ ausgibt, aber da wo nur Zahlen und Buchstaben sind soll er normal weiter machen.
Quasi dass er bestimmte Zeichen aus so einer Variablen ausliesst und nur wenn diese Da drinne sind soll er eine 0 ausgeben, ansonsten nichts, oder eine 1 oder so.
Dann kann ich es ja in eine Schleife packen und gut. Aber er soll nicht abgelichen, ob die Variablen bestimmte worte oder Zeichenketten haben.
Ich habe auch nichts gefunden, dass so aussieht. Ich suche wohl nach dem Falschen. Denn Preg_match glaube ich ist nicht richtig.

[c4]

Dann versuch's doch einfach mal aus! Links habe ich Dir vorhin gegeben.

Und glaub mir, preg_match() ist absolut richtig.

[verrückter]

Habe jetzt folgendes Script geschrieben.
Würde jemand etwas dran ändern bzw. verbessern?
Es haut soweit hin.

Danke C4

[Opendix]

Zitat:

Zitat von verrückter

Habe jetzt folgendes Script geschrieben.
Würde jemand etwas dran ändern bzw. verbessern?
Es haut soweit hin.

Danke C4

evtl könnte man es ja verbessern... würde mans nur sehen (oder bin ich blind?^^)