Problem mit php in Variable
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
angriff
angst
ausgabe
auslese
datei
datenbank
denken
eingabe
eintragen
funktion
jemand
knacken
post
problem
sache
senden
tun
verhindern
webseite
wirt
-
Hallo LC,
Ich habe WordPress auf meiner HP.
Was der User dort eingibt Wirt in meine DB gespeichert.
Ich sende die Eingabe per Post Funktion ein eine Andere Datei (eintragen.php). In der hatte ich dann ( $a = htmlspecialchars(mysql_escape_string($_Post[a']));)
so das führte aber zu Störungen. da hab ich es weg gelassen da WordPress ja php und html gekonnt zerlegt.
aber dann ist mir eingefallen das man ja auch von außerhalb per Post Funktion an eintragen.php senden könnte und so mit auch html und php eintragen könnte.
das ist aber schlecht da man so die Webseite knacken könnte weil man php ausführen kann. wie kann ich das verhindern? -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
christian1603 schrieb: Hallo LC,
Ich habe WordPress auf meiner HP.
Was der User dort eingibt Wirt in meine DB gespeichert.
Ich sende die Eingabe per Post Funktion ein eine Andere Datei (eintragen.php). In der hatte ich dann ( $a = htmlspecialchars(mysql_escape_string($_Post[a']));)
so das führte aber zu Störungen. da hab ich es weg gelassen da WordPress ja php und html gekonnt zerlegt.
aber dann ist mir eingefallen das man ja auch von außerhalb per Post Funktion an eintragen.php senden könnte und so mit auch html und php eintragen könnte.
das ist aber schlecht da man so die Webseite knacken könnte weil man php ausführen kann. wie kann ich das verhindern?
Wenn es dir reicht das der User kein PHP ausfürhen kann kannst du doch einfach sowas aus deiner Variable rausfiltern:
<? oder ?> echo usw..... -
rms schrieb: Ich verstehe das Problem nicht so recht...
Also du hast Angst, dass jemand ein php-Script in deine Datenbank speicherst? Aber selbst wenn das geschehen sollte, wird das doch noch lange nicht ausgeführt...
Beim eintragen nicht aber ich gebe sie wieder aus. ( ist ein Gästebuch)
Html kann er ruhig ausführen das wäre nicht so schlimm aber PHP soll er nicht ausführen.
ich habe mal nur mysql_escape_string($_Post[a']); getestet aber das geht auch nicht!
Da man bei WordPress Videos einbauen kann das Wirt dann auch so blöde zerlegt.
jemand ne idee? -
Du solltest mal daran denken, deinen Titel anzupassen. Mit WordPress hat dies in erster Linie nichts zu tun!
Du verwechselt dabei, dass eine prinzipielle Gefahr ausgeht, wenn du etwas in die Datenbank schreibst. Daher gibt es diese mysql_real_escape.. Sachen. Ein möglicher Angriff nennt man SQL-Injection.
Beim Auslesen wird das ganze als String zurückgegeben und kann mit htmlspecialchars behandelt werden. -
ich würde ja mysql_escape_string(); und dann bei der ausgabe \ rausfiltern. ich weiß nur nicht wo mit ich das ersetzen kann damit php nicht wieder ausgeführt wirt^^.
Beitrag zuletzt geändert: 16.1.2010 18:40:00 von christian1603 -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
