Vraag & Antwoord

Webprogrammeren & scripting

invoer reinigen

10 antwoorden
  • Is de volgende simpele code genoeg om een input van kwaadwillende te reinigen? [code:1:c5da8cd284] $input = strip_tags($input); $input = htmlspecialchars($input); [/code:1:c5da8cd284] of is alleen de strip_tags al voldoende? Sander
  • De strip_tags () functie zou ik [b:3a0d08ed13]niet gebruiken[/b:3a0d08ed13]. De htmlspecialchars () functie volstaat. Deze zorgt ervoor dat al de < vervangen worden door <, de > door >, ... zodat er geen code kan gebruikt worden. Al de ingevoerde data wordt als tekst beschouwd. Als ik juist zit dan zal de strip_tags () functie al de tags verwijderen, dus <html>abc wordt gewoon abc.
  • Ligt er ook aan wat je daarna met die variabele gaat doen. Bij gebruik in een SQL query is injectie nog steeds mogelijk.
  • [quote:532fe19c83="gerben"]Ligt er ook aan wat je daarna met die variabele gaat doen. Bij gebruik in een SQL query is injectie nog steeds mogelijk.[/quote:532fe19c83] Bedoel je dit omdat commandos als INSERT,DELETE,WHERE etc etc gewoon als tekst worden gezien? en dus de query in gestuurd worden?
  • Kwam laatst op phpfreakz een artikel tegen wat je vast wel kan helpen. [quote:84d4635bd7]Webprogrammer's Hacking Guide door Sijmen Ruwhof Voor wie is dit artikel bedoeld? Voor webprogrammeurs die veilig willen programmeren of bezorgt zijn over de veiligheid van hun scripts. Het artikel is bedoeld voor beginners en gevorderden en voor iedere webprogrammeur, ongeacht de script taal.[/quote:84d4635bd7] http://www.phpfreakz.nl/artikelen.php?aid=106
  • Bedankt Sjoerd. Dit is trouwens niet alleen nuttig voor mij maar voor velen met mij! (Wel veel lezen maar toch..) Misschien iets voor de FAQ?
  • Dus als ik het goed begrijp is het veilig(behalve met querys) om de input gewoon ruw in de database te knallen. (wel de addslashes toepassen indien de server magic quotes uit heeft staan) Pas zodra ik iets met die info ga doen (weergeven of query's draaien) moet ik hem door htmlspecialchars(strip_slashes($var)) halen. Hier moet ik dus een gewoonte van maken.. Zit ik zo redelijk veilig met userinput? (mysql injectie gaat wat verder, maar ik wil eerst dit ff afmaken) Sander
  • Kan iemand hier ajb een antwoord op geven? :roll: 8)
  • Je kan beste al de gegevens ruw in de databank steken. De reden is simpel: stel nu dat je iets als bbcode gebruikt, of smilies. Als je de tekst formatteerd in de databank steekt dan moet je de hele databank updaten telkens als je een nieuwe tag of smilie toevoegd ...
  • gebruik ook stripslahes(); anders krijg je \'s als je een ' gebruikt.

Beantwoord deze vraag

Weet jij het antwoord op deze vraag? Registreer of meld je aan met je account

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.