• Jetzt anmelden. Es dauert nur 2 Minuten und ist kostenlos!

Ungewünschte "Zeichen" aus Eingabe entfernen?

nookie

nookie

I did it all for the nookie
Guten Tag,

ich bin gerade dabei einen Login zu programmieren, der auch soweit funktioniert. Doch durch die OR 1=1 Klausel lässt sich der Login austricksen. Wenn ich nun als Username und Passwort " ' OR '1'='1" einfüge, werde ich dennoch als admin in eingeloggt. Deswegen kam mir die Idee, diese Zeichen einfach in der Eingabe zu entfernen mit folgender Funktion, die aber bisher noch nicht ganz funktioniert da ich die pattern noch definieren muss.

PHP: 
function safe_input($input) {
    
    // define any array
    $any = array();
    $any[] = '-';
    $any[] = '>';
    $any[] = '<';
    $any[] = '/';
    $any[] = '"';
    $any[] = '.';
    $any[] = ',';
    $any[] = ':';
    $any[] = ';';
    $any[] = "'";
    $any[] = '"';
    $any[] = '}';
    $any[] = '{';
    $any[] = '[';
    $any[] = ']';
    $any[] = '(';
    $any[] = ')';
    
    if($input != '') {
        $pattern = "";
        $input = preg_replace($pattern, ' ', $input);
    }
}

Wenn jemand einen Fehler findet oder verbesserungsvorschläge hat bitte melden. Das ganze soll dann im Login wie folgt aussehen.

PHP: 
            $wl_user = mysql_real_escape_string($_POST['wl_user']);
            $wl_user = stripslashes($wl_user);
            $wl_user = safe_input($wl_user);
            
            $wl_pwd = mysql_real_escape_string($_POST['wl_pwd']);
            $wl_pwd = stripslashes($wl_pwd);
            $wl_pwd = safe_input($wl_pwd);
 
Richtig debuggen

1. Man bemerkt, dass ein Skript nicht das tut, was es soll.
2. Man schreibt an den Anfang des Scriptes die Zeile: error_reporting(-1);
3. Man verwendet ini_set('display_errors', true); damit die Fehler auch angezeigt werden.
4. Man versucht, die Stelle die daran Schuld sein kann, schonmal einzugrenzen. Falls dies nicht geht, wird zunächst das komplette Skript als fehlerhaft angesehen.
5. An markanten Stellen im Skript lässt man sich wichtige Variableninhalte ausgeben und ggf. auch in bedingten Anweisungen eine kurze Ausgabe machen, um zu überprüfen, welche Bedingung ausgeführt wurde. Wichtig bei MySQL Fehlern (...not a valid MySQL result resource...): mysqli_error() verwenden oder Abfrage ausgeben und zb mit phpmyadmin testen.
6. Schritt 5 wird so lange wiederholt, bis Unstimmigkeiten im Skript auffallen
7. Damit hat man das Problem (Unstimmigkeit) gefunden und kann versuchen diese zu beheben. Hierzu dienen dann die PHP-Dokumentation und andere Quellen als Ratgeber.
8. Lässt sich das konkrete Problem trotzdem nicht beheben, kann man in Foren um Rat fragen.
9. Das Programm läuft und man kann die Debug-Ausgaben wieder entfernen.
 
Du bist ein ganz toller! :) Ich wüsste gerne, ob es noch andere Wege gibt? Vllt. eine Funktion?
 
Zuletzt bearbeitet:
Ich glaube nicht, dass mysql_real_escape_string das erwünschte Ergebnis liefert. Aber da ich ja ein ganz Toller bin und mir klar ist, dass die Funktion von nookie keinen Wert liefert ...
 
Okay, danke hat sich erledigt. mysql_real_escape_string hat das gewünschte ergebnis geliefert doch stipslashes hat das ganze wieder aufgehoben. Kann geschlossen werden.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Neueste Beiträge

Zurück
Oben