Thema: bösartige Usereingaben

[CrackPod]

Hallo,

da sich ja immer alle Sorgen um bösartigen machen hab ich mir folgendes überlegt:

<?php
function validUsercode ($array) {
    return htmlentities($array,ENT_QUOTES);
}
array_map("validUsercode",$_POST);
array_map("validUsercode",$_GET);
array_map("validUsercode",$_COOKIE);
?>

Das müsste doch alle Sorgen bereinigen, oder? Denn durch das ENT_QUOTES werden alle ' und " durch den Htmlcode ersetzt. Und htmlentities spricht ja für sich.
Hab ich da nen logischen Fehler drinnen, oder behebt das alles?

 

[CrackPod]

könnt ihr mit dem snippet nichts anfangen, ist das total falsch oder is das so eine bahnbrechende Idee, dass ihr sie erstmal überall erzählen müsst, bevor ihr mir antwortet oder warum antworter ihr mir nicht?

 

[Gelöschtes Mitglied 2703]

nuja wofür solls denn gefährlich sein

gefährlich für browser -> htmlentities()
gefährlich für datenbank -> mysql_real_escape_string()
gefährlich für shell -> escapeshellcmd()

Je nach Wunsch auch gebündelt oder in Kombinationen verwenden.

 

[CrackPod]

aber htmlentities($foo,ENT_QUOTES); trifft doch auch für browser und db zu, oder?

 

[Gelöschtes Mitglied 2703]

ich verlasse mich auf die client bibliothek des MYSQL servers, sie wird am besten wissen was "böse" ist. [und htmlentities ist dumm wenn du das nachher aus der datenbank in PDF oder plaintext dateien packen willst : hier sollte man die Applikationslogik von der Anzeigelogik trennen]