Zur Navigation

Maskierung gegen SQL Injektion sowie evtl. späteres XSS

1 Gabi

Hallo Jörg,
dein Forum-Skript gefällt mir ja wirklich schon sehr gut, folgendes könnte man aber vielleicht gelegentlich noch verbessern:

Ob es in der Praxis wirklich unsicherer ist, weiß ich nicht, aber statt addslashes() verwendet man doch eigentlich mysql_real_escape_string() zur Maskierung.

Ansonsten bevorzuge ich übrigens URLs ohne Dateiendung, im .html sehe ich keinen Sinn, und als Zeichensatz würde ich mir UTF-8 wünschen, siehe UTF-8 oder ISO-8859-1?/Umstellung auf UTF-8. Perfekt wäre das dann noch mit *rohen* Umlauten im Quelltext, damit auch dieser gut lesbar ist, das sieht man bisher erst äußerst selten, z.B. bei http://schneegans.de/.

Gruß Gabi

24.04.2006 12:21

2 Jörg Kruse

Hallo Gabi,

zu mysql_real_escape_string():
da hast du recht, diese Funktion ist besser an MySQL angepasst und unter speziellen Bedingungen auch leistungsfähiger als addslashes(). Konkrete Gefährdungen sind mir für den Fall dieses Forums nicht bekannt, nichtsdestotrotz wird mysql_real_escape_string() in der kommende Foren-Version addslashes() ersetzen.

zu UTF-8:
dieser Zeihensatz wird sicher in einer späteren Version mal integriert; in dem Zusammenhang brauchen Zeichen dann auch nicht mehr html-codiert zu werden (außer die HTML Special Chars)

zu den URLs ohne Dateiendung:
ist eine Überlegung wert lächel

LG Jörg

24.04.2006 16:04 | geändert: 24.04.2006 16:09

Nur Mitglieder können in diesem Forum Antworten schreiben.

Login | Registrieren