Lücken schließen

Arrow53

Ich empfehle euch, egal wie sicher ihr euch seid, oder schon meint, alles geschlossen zu haben, diesen Thread durchzulesen und zu befolgen.
Mit diesem Code werden alle Lücken im Content geschlossen sein und müsst nicht gleich alles zu filtern. Es gilt für alle Dateien.

Fügt diesen Code in eure Core hinein. Direkt nach dem die Session beginnt.

PHP

// #########################################################################
// FILTER
// #########################################################################


if($_POST) {
foreach($_POST as $key => $value) {
if(is_array($value)) {
foreach($value as $key2 => $value2) {
$_POST[$key][$key2] = htmlspecialchars(mysql_real_escape_string($value2));
}
} else {
$_POST[$key] = htmlspecialchars(mysql_real_escape_string($value));
}
}
}


if($_GET) {
foreach($_GET as $key => $value) {
$_GET[$key] = htmlspecialchars(mysql_real_escape_string($value));
}
}


if($_COOKIE) {
foreach($_COOKIE as $key => $value) {
$_COOKIE[$key] = htmlspecialchars(mysql_real_escape_string($value));
}
}

Alles anzeigen

Nachdem dies erledigt ist, sollte es so aussehen:

Nun könnt ihr die Datei abspeichern und euer Content ausprobieren. Alle Lücken sollten nun geschlossen sein, denn jede POST & GET Abfrage werden gefiltert.
Außerdem werden Cookies ebenfalls gefiltert.

Am besten baut ihr es ein, auch wenn ihr schon ein relativ sicheres Content benutzt. Denn es könnte sein, dass sich irgendwo noch Lücken befinden.

Mit freundlichen Grüßen
Arrow53

Johnix

Das ist einer der billigsten und schlechtesten Lücken fixes.
Warum sollte man Html beim eintragen in die Datenbank filtern? Es reicht doch völlig bei der Ausgabe des Textes.

Flasho

Zitat von Johnix

Das ist einer der billigsten und schlechtesten Lücken fixes.
Warum sollte man Html beim eintragen in die Datenbank gefiltert werden? Es reicht doch völlig bei der Ausgabe.

Die beste Lösung ist, wenn man Erfahrung hat und alles einzeln selbst schließt, und nicht nen lachhaften Code zu erstellen, der jeden Mist filtert.
Tipp: mysql_real_escape_string(); - Außerdem ist es sogar nicht schwer!

Arrow53

Danke für eure Kritik. Ich werde es weiterhin nutzen, da ich nur ein Mensch bin und auch was übersehen kann.
Natürlich filtere ich die bekannten Lücken selber, dennoch habe ich den Code zur Sicherheit drin und empfehle ihn jeden zu nutzen.

Johnix

Zitat von Flasho

Die beste Lösung ist, wenn man Erfahrung hat und alles einzeln selbst schließt, und nicht nen lachhaften Code zu erstellen, der jeden Mist filtert.
Tipp: mysql_real_escape_string(); - Außerdem ist es sogar nicht schwer!

Exakt.
- mysql_real_escape_string() nur beim Eintragen in die Datenbank
- htmlentities() oder Sonstiges bei der Ausgabe von Texten in der Datenbank

Flasho

Zitat von Arrow53

Danke für eure Kritik. Ich werde es weiterhin nutzen, da ich nur ein Mensch bin und auch was übersehen kann.
Natürlich filtere ich die bekannten Lücken selber, dennoch habe ich den Code zur Sicherheit drin und empfehle ihn jeden zu nutzen.

Wenn man Programmierer ist, und alles selbst programmiert, kann man das einfach nicht vergessen, solche Sachen wie: $_POST["username"] -> Springt doch direkt ins Auge?!

Arrow53

Wer redet den hier von selbstprogrammierten.
Wir sind hier auf Retrotown und ich denke 80% von hier nutzen das reCMS oder Ultimate.

´bambus

Ich empfehle euch mysql_* dreck zu vergessen und mysqli umzusteigen oder PDO zu lernen.

RetroStyler

Wird bestimmt jemandem helfen Danköö !

Jetzt mitmachen!