AlexK-Mainz
Neues Mitglied
Hallo,
ich habe da eine Prinzipielle Frage zur Sicherheit bei der Website-Programmierung.
Ich habe ein Formular, welches der Registrierung neuer User dient. Als Backend läuft eine MySQL Datenbank auf welche ich mittels PHP zugreife.
Zum einen möchte ich dafür sorgen, dass in die entsprechenden Formularfelder nur bestimmt Zeichen eingesetzt werden können, zum anderen möchte ich möglichst verhindern, dass schädlicher Code eingeschleust wird.
Ich habe hierzu 2 Anätze gefunden:
1) per Javascritpt:
ich lasse die Eingaben durch eine Funktion überprüfen, bevor ich diese versende.
2) ich versende das Forumular mittels Submit (POST) an eine andere PHP Datei, welche das Formular dann auf seine Richtigkeit prüft.
Die Frage stellt sich nun in Bezug auf die Sicherheit.
Wenn ich die Daten per POST an ein PHP Script sende, ist der Sendevorgang ja schon eingeleitet und ich befürchte, dass etwaiger schadhafter Code dann schon auf dem Server verarbeitet wird, bevor mein PHP Script die Eingaben Prüfen und z.b. Zeichen wie "< >" löschen kann.
Wenn ich diese Zeichen jedoch vor dem Absenden per Javascript lösche, dann erscheint dies natürlich sicherer. Jedoch habe ich die Beführchtung, da der Quellcode des Javascripts ja für jeden einsehbar ist, dass jemand eine eigene Seite erstellt und das Javascript löscht, sodass die Daten dann ungeprüft versendet werden.
Wie löst Ihr solche "möglichen" Sicherheitsprobleme?
ich habe da eine Prinzipielle Frage zur Sicherheit bei der Website-Programmierung.
Ich habe ein Formular, welches der Registrierung neuer User dient. Als Backend läuft eine MySQL Datenbank auf welche ich mittels PHP zugreife.
Zum einen möchte ich dafür sorgen, dass in die entsprechenden Formularfelder nur bestimmt Zeichen eingesetzt werden können, zum anderen möchte ich möglichst verhindern, dass schädlicher Code eingeschleust wird.
Ich habe hierzu 2 Anätze gefunden:
1) per Javascritpt:
ich lasse die Eingaben durch eine Funktion überprüfen, bevor ich diese versende.
2) ich versende das Forumular mittels Submit (POST) an eine andere PHP Datei, welche das Formular dann auf seine Richtigkeit prüft.
Die Frage stellt sich nun in Bezug auf die Sicherheit.
Wenn ich die Daten per POST an ein PHP Script sende, ist der Sendevorgang ja schon eingeleitet und ich befürchte, dass etwaiger schadhafter Code dann schon auf dem Server verarbeitet wird, bevor mein PHP Script die Eingaben Prüfen und z.b. Zeichen wie "< >" löschen kann.
Wenn ich diese Zeichen jedoch vor dem Absenden per Javascript lösche, dann erscheint dies natürlich sicherer. Jedoch habe ich die Beführchtung, da der Quellcode des Javascripts ja für jeden einsehbar ist, dass jemand eine eigene Seite erstellt und das Javascript löscht, sodass die Daten dann ungeprüft versendet werden.
Wie löst Ihr solche "möglichen" Sicherheitsprobleme?
