Inhalt einer Variablen prüfen

[Salamander89]

Hallo zusammen,

weiß zufällig jemand, wie man den Inhalt einer Variablen/eines Arrays auf das Vorkommen bestimmter Sonderzeichen (z.B. */\ ...) überprüfen kann?
Ich bräuchte das, um bei einem Login-Formular eventuelle SQL-Injection auszuschliessen.
Danke schon mal im Vorraus.

[CPA]

Bevor du einen String auf etwaige Sonderzeichen prüfst, kannst ja beim einfügen eines Datensatzes in die Datenbank die Funktion mysql_real_escape_string() nutzen.

Bsp.:

PHP-Code:

$input = $_POST['formfield'];
mysql_query("INSERT INTO table1 (input) VALUES('".mysql_real_escape_string($input)."')"); 


Auf diese Weise musst den String nicht extra auf Sonderzeichen prüfen, diese werden durch die genannte Funktion einfach maskiert und somit ist kein SQL-Injection möglich.

[Salamander89]

Ja, das wäre eine Möglichkeit. Aber ich möchte, dass dem User eine Fehlermeldung ausgegeben wird, wenn er in das Formular "nicht erlaubte" Zeichen schreibt.

Ich hab mal ein bisschen gegoogelt und das hier gefunden:

PHP-Code:

if (!preg_match('~\A\S{3,30}\z~', $Username)) {
        return 'Der Benutzername darf nur aus 3 bis 30 Zeichen bestehen und '.
               'keine Leerzeichen enthalten.';
    } 


Das klappt ganz gut soweit.

[Salamander89]

allerdings hab ich jetzt gemerkt, dass die Überprüfung doch nicht so optimal funktioniert.

Das Problem, der Code:

PHP-Code:

$frmbenutzer = trim($_POST['Benutzer']);
$frmsecure = '/^&$\{}][=+-*"-_./';
if (preg_match($frmsecure, $frmbenutzer)) {
  return "Keine unerlaubten Zeichen!";
} 


gibt folgenden Fehler aus:

Code:

Warning: preg_match() [function.preg-match]: Compilation failed: range out of order in character class at offset 11 in [Verzeichnis...] on line 32

Leider werde ich aus der Anleitung zur preg_match Funktion auf php.net auch nicht schlau. Kann jemand helfen?

Danke.

[norbert6]

http://de3.php.net/function.ereg

schau dir das mal an.

(oder http://de3.php.net/function.eregi für keine unterscheidung zwischen groß und kleinschreibung)

[asipak4you]

Nein,

er sollte weiterhin preg_match nutzen:

Zitat:

Zitat von php.net

Hinweis: Die Funktion preg_match(), die eine zu Perl kompatible Syntax regulärer Ausdrücke verwendet, ist häufig die schnellere Alternative zu ereg().

Kleiner Tipp: Schreibe deinen Regulären Ausdruck so um, dass nur "erlaubte" Zeichen gefunden.

PHP-Code:

$frmsecure = '/^[a-z0-9]*$/i'; 
if (preg_match($frmsecure, $frmbenutzer)) { 
  return "Keine unerlaubten Zeichen"; 


[Salamander89]

Ok, danke für die Tipps. Jetzt klappts.
Vg salamander