B
BartTheDevil89
Guest
Hallo,
ich bin derzeit dabei einige Projekte auf ihre Sicherheit zu verbessern. Dabei habe ich mir nun Gedanken gemacht. Denn die Schwachstelle schlecht hin ist sind ja GET und POST-Varibalen. Oder sollte man sich noch auf weitere Sachen konzentrieren?
Zu den GET und Post-Variblen: Dabei sind mir vier verschiedene Möglichkeiten in den Sinn gekommen:
1. Ziffern (Bsp 98349)
2. einzelnes Wort (Bsp: delete)
3. Texteingabe (Bsp Ich bin ein Text mitvielen Sachen..)
4. Dateiupload (Bsp Upload von Bilddateien)
Nun bin ich derzeit dabei mir zu überlegen, wie ich diese Dinge genau überprüfe, damit sie keine SQL-Injections, etc.drin hat. Aber leider fällt mir nichts genau ein. Wie würde ihr das am besten in jedem Fall machen? Ziel sollte es sein, dass alles böse rausgeworfen wird, damit ich dann vielleicht auch leere Ergebnisse am Ende herausbekomme aber eben sichere. Denn ich möchte dann für jeden Fall mir eine Funktion erstellen, durch die ich das get, bzw. post-Ergebnis durchlaufen lasse und dann eben den überprüften Wert herausbekomme oder eben ein leeres oder von bösen entferntes Ergebnis.
ich bin derzeit dabei einige Projekte auf ihre Sicherheit zu verbessern. Dabei habe ich mir nun Gedanken gemacht. Denn die Schwachstelle schlecht hin ist sind ja GET und POST-Varibalen. Oder sollte man sich noch auf weitere Sachen konzentrieren?
Zu den GET und Post-Variblen: Dabei sind mir vier verschiedene Möglichkeiten in den Sinn gekommen:
1. Ziffern (Bsp 98349)
2. einzelnes Wort (Bsp: delete)
3. Texteingabe (Bsp Ich bin ein Text mitvielen Sachen..)
4. Dateiupload (Bsp Upload von Bilddateien)
Nun bin ich derzeit dabei mir zu überlegen, wie ich diese Dinge genau überprüfe, damit sie keine SQL-Injections, etc.drin hat. Aber leider fällt mir nichts genau ein. Wie würde ihr das am besten in jedem Fall machen? Ziel sollte es sein, dass alles böse rausgeworfen wird, damit ich dann vielleicht auch leere Ergebnisse am Ende herausbekomme aber eben sichere. Denn ich möchte dann für jeden Fall mir eine Funktion erstellen, durch die ich das get, bzw. post-Ergebnis durchlaufen lasse und dann eben den überprüften Wert herausbekomme oder eben ein leeres oder von bösen entferntes Ergebnis.