net-board.net Archiv
Sichere Datenabfrage ?? - Druckversion

+- net-board.net Archiv (https://net-board.net)
+-- Forum: Deine eigene Homepage (https://net-board.net/forumdisplay.php?fid=26)
+--- Forum: Scriptsprachen (+Datenbanksysteme) (https://net-board.net/forumdisplay.php?fid=19)
+--- Thema: Sichere Datenabfrage ?? (/showthread.php?tid=5759)

Sichere Datenabfrage ?? - Futjikato - 04.02.2008

Wollte mal fragen ob folgendes Script sicher ist oder ob ihr da eine möglichkeit für header injections seht ??

Code:
if(!$_POST["name"]){
    $error[8]="Sie haben keinen Namen angeben!";
}else{
    $namemuster="/^[[:space:]-a-z]+$/i";
    if(!preg_match($namemuster,$_POST["name"])){
        $error[8]="Ungültiger Name! Sie dürfen im Namensfeld nur Buchstaben, Leerzeichen und Bindestriche benutzen!";
    }
}
if(!$_POST["plz"]){
    $error[7]="Sie haben keine Postleitzahl angegeben!";
}else{
    $plzmuster="/^[0-9]{5}$/";
    if(!preg_match($plzmuster,$_POST["plz"])){
        $error[7]="Ungültige Postleitzahl! Sie dürfen nur Ziffern verwenden und die PLZ muss vollständig sein!";
    }
}
if(!$_POST["wohnort"]){
    $error[6]="Sie haben keinen Wohnort angegeben!";
}else{
    $wohnmuster="/^[a-z[:space:]]+$/i";
    if(!preg_match($wohnmuster,$_POST["wohnort"])){
        $error[6]="Ungültiger Wohnort! Sie dürfen nur Buchstaben verwenden!";
    }
}
if(!$_POST["geb_jahr"]){
    $check=false;
    $error[5]="Sie haben kein komplettes Geburtsdatum angegeben.!";
}else{
    $gebmuster="/^[0-9]{4}$/";
    if(!preg_match($gebmuster,$_POST["geb_jahr"])){
        $error[5]="In der Jahresangabe ihres Geburtsdatum dürfen nur Zahlen vorkommen!";
    }
}
if(!$_POST["strasse"]){
    $error[4]="Sie haben keine Straße angegeben!";
}else{
    $strassenmuster="/^[[:space:]-a-z0-9]+[[:space:]]*,[[:space:]0-9]+$/i";
    if(!preg_match($strassenmuster,$_POST["strasse"])){
        $error[4]="Fehlerhafte Eingabe von Straße oder Hausnummer!<br>Denken sie an das \",\" zwischen Straße und Hausnummer !";
    }
}
if($_POST["email"]){
    $emailmuster="/^[_a-z0-9]+(\.[_a-z0-9-]+)*@([a-z0-9-]+)\.([a-z]{2,4})$/i";
    if(!preg_match($emailmuster,$_POST["email"])){
        $error[3]="Fehlerhafte E-Mail Adresse!";
    }
}
if(!$_POST["agb"]||$_POST["agb"]!=1){
    $error[9]="Sie haben die Teilnahmebedingungen nicht akzeptiert!";
}
$gebdaytest="/^[0-9]{1,2}$/";
if(!preg_match($gebdaytest,$_POST["geb_tag"])){
    $error[1]="Headerinformationen fehlerhaft!! Tagesangabe";
}
$gebmonthtest="/^[a-zA-Z]+$/";
if(!preg_match($gebmonthtest,$_POST["geb_monat"])){
    $error[2]="Headerinformationen fehlerhaft!! Monatsangabe ";
}

if(isset($error)){
    echo"Es wurde(n) folgende(r) Fehler festgestellt:<br><hr>";
    foreach($error as $er){
        echo $er."<hr>";
    }
}else{
    $geb=$_POST["geb_tag"].".".$_POST["geb_monat"].".".$_POST["geb_jahr"];
    if(!$_POST["klettern"]||$_POST["klettern"]==""){
        $_POST["klettern"]="nein";
    }
    if(!$_POST["radfahren"]||$_POST["radfahren"]==""){
        $_POST["radfahren"]="nein";
    }
    if(!$_POST["bootfahren"]||$_POST["bootfahren"]==""){
        $_POST["bootfahren"]="nein";
    }
    if(!$_POST["telefon"]||$_POST["telefon"]==""){
        $_POST["telefon"]="Keine Angabe";
    }
    if(!$_POST["badeerlaubnis"]||$_POST["badeerlaubnis"]==""){
        $_POST["badeerlaubnis"]="nein";
    }
    if(!$_POST["stadtaufenthalt"]||$_POST["stadtaufenthalt"]==""){
        $_POST["stadtaufenthalt"]="nein";
    }
    $anmeld=mysql_query("
    INSERT INTO hb_form_2
    (freizeit,name,plz,wohnort,strasse,telefon,geb,email,schwimmen_erlaub,schwimmer,klettern,radfahren,bootfahren,aufenthalt,bemerkungen)VALUES
    ('".mysql_real_escape_string(htmlspecialchars($_POST["freizeit"]))."',
    '".mysql_real_escape_string(htmlspecialchars($_POST["name"]))."',
    '".mysql_real_escape_string(htmlspecialchars($_POST["plz"]))."',
    '".mysql_real_escape_string(htmlspecialchars($_POST["wohnort"]))."',
    '".mysql_real_escape_string(htmlspecialchars($_POST["strasse"]))."',
    '".mysql_real_escape_string(htmlspecialchars($_POST["telefon"]))."',
    '".$geb."',
    '".$_POST["email"]."',
    '".mysql_real_escape_string(htmlspecialchars($_POST["badeerlaubnis"]))."',
    '".mysql_real_escape_string(htmlspecialchars($_POST["schwimmer"]))."',
    '".mysql_real_escape_string(htmlspecialchars($_POST["klettern"]))."',
    '".mysql_real_escape_string(htmlspecialchars($_POST["radfahren"]))."',
    '".mysql_real_escape_string(htmlspecialchars($_POSt["bootfahren"]))."',
    '".mysql_real_escape_string(htmlspecialchars($_POST["stadtaufenthalt"]))."',
    '".mysql_real_escape_string(htmlspecialchars($_POST["bemerkungen"]))."')");
    if(!$anmeld){
        echo mysql_error();
    }else{
        echo "Erfolgreich !";
    }
}


- pattex - 04.02.2008

Wieso fragst du denn sowas wie klettern nochmal ab?
Code:
    if(!$_POST["klettern"]){
        $_POST["klettern"]="nein";
    }
    if(!$_POST["radfahren"]){
        $_POST["radfahren"]="nein";
    }
    if(!$_POST["bootfahren"]){
        $_POST["bootfahren"]="nein";
    }
    if(!$_POST["telefon"]){
        $_POST["telefon"]="Keine Angabe";
    }
    if(!$_POST["badeerlaubnis"]){
        $_POST["badeerlaubnis"]="nein";
    }
    if(!$_POST["stadtaufenthalt"]){
        $_POST["stadtaufenthalt"]="nein";
    }

Ich denke mal du hast da doch ein Formular mit Checkboxen. Dann wird doch sowieso ne 1 oder ne 0 übertragen. Ist einfacher als "ja" oder "nein"
In der Datenbank würde ich auch nur 1 oder 0 sichern und nicht "ja" oder "nein".

- Futjikato - 04.02.2008

ja das ding ist das die datenbank von jemandem ausgelsesen wird der da nunmal ja oder nein stehen haben will
frag mich nicht warum aber auftrag ist auftrag :zwinker:

- kickedINtheHEAD - 04.02.2008

Ich würds so nicht online stellen *fg*

htmlspecialchars dürft zwar einiges abfangen, aber um wirklich sicher zu sein solltest mysql_real_escape_string verwenden.
http://at.php.net/manual/en/function.mysql-real-escape-string.php

Außerdem ist dei Error Handling wirklich etwas eigenartig. Wieso machst du für jeden Error ne eigene Variable?

Viel einfacher würds gehn wennst alle in ein Array schreibst. ($error[]="Fehler").
Unten fragst dann einfach ab ob $error gesetzt ist oda nicht. Wenn ja gabs zumindest einen Fehler, dann gibst das einfach alles mit for each aus. Wenns nicht gsetzt ist, sollt alles in Ordnung sein.

Damit ersparst dir das $check und brauchst nur ein $error Array.

- Futjikato - 04.02.2008

stimmt .... aber so ist es schon fertig und danke für den funktions tipp Smile

- kickedINtheHEAD - 04.02.2008

Noch ein paar Kleinigkeiten. Bei dem regulären Ausdruck statt {4,4} reicht es auch nur {4}

Außerdem ist ==0 und ==1 bei den Abfragen nicht wirklich schön. ==1 kannst gleich direkt weglassen und ==0 einfach vorne die Funktion negieren.

Ajo du checkst nur das Geburtsjahr, da kann ich dir über den Rest einschleußen was ich will (Drop Down Boxen sind da kein Hinderniss).

Leere Variablen kann ich übrigens au übergeben. Du checkst immerhin nur ob eine Variable gesetzt ist, nicht ob ihr ein Wert zugewiesn wurde.

- Futjikato - 04.02.2008

jo danke und vielen dank für deine tipps und hilfen.
Werde versuchen alles zu verbessern. :respekt:

So alles verbessert .... hoffe das ganze KÖNNTE jetzt so online gehen ohne das ich irgendwelche angriffe zu befürchten habe ?
Hab mal den QC oben aktualisiert.

- kickedINtheHEAD - 05.02.2008

Jo sollt grundsätzlich alles passen. Mal schaun wenn ich Zeit hab dann zeig ich dir wie ich das lösen würd Wink