[J33d3X]

Zitat:

zu Punkt 8 hätte ich auch noch eine sichere alternative.

was wäre es denn dann für eine Alternative ?

[El Barto]

Bei Punkt 4 sollte man doch besser folgende Funtion verwenden:

mysql_real_escape_string()

Zitat:

Zitat von Jann Hendrik

Zitat:

und was, wenn die GET-Variable mit ../ beginnt?

jop, des wird nicht funktionierten, schau:

PHP-Code:

<?

include "inc/../seite.php";

?>

Meine Variante ist deshalb relativ sicher

[Lars]

Zitat:

jop, des wird nicht funktionierten, schau:

PHP-Code:

<?

include "inc/../seite.php";

?>

Natürlich funktioniert das. Windows XP, Apache 2.

[J33d3X]

um eine email ordentlich auszugeben, ordentlich deshalb da ich viel mit
ausgabepufferung arbeite also weniger den header('...'); einsetze
kann man auch

$var = 'email@hallo.dot';

echo replaceMail($var); // umwandlung in unicode zeichen

PHP-Code:

function replaceMail($mail) {
    $return = FALSE;
    for ($i=0;$i<strlen($mail);$i++)
        $return.=str_replace(substr($mail,$i,1),"&#".ord(substr($mail,$i,1)).";",substr($mail,$i,1));
        
    return $return;
} 


[.rTist]

danke mit deiner hilfe ist mein gbook um einiges sicherer nun

Zitat:

Zitat von J33d3X

kleine Hilfe zu CSRF

PHP-Code:

<?php

        $treffer=false;
        $search = "/(\[img\])(.*)(\.php)*(\[\/img\])/siU";
        
        // check auf CrossSiteRequestForgeries
        preg_match($search, $para, $treffer);
        if (true==$treffer && is_array($treffer))
        {
            if ('.php'==$treffer[3])
            {
                $replace="replaced by system: do not use pictures with ending  ".$treffer[3];
                $para=str_replace($treffer[0], $replace, $para);
            }
        }

Ja gut nur was machst du wenn der User folgendes eingibt: [img]index.p\0hp[/img]
\0 makiert in C das Ende eines Strings und wird deshalb von PHP meistens ignoriert. Der reguläre Ausdruck erkennt dein \0 und liefert einen Nulltreffer zurück und das "Bild" wird akzeptiert.

Zitat:

Zitat von J33d3X

um eine email ordentlich auszugeben, ordentlich deshalb da ich viel mit
ausgabepufferung arbeite also weniger den header('...'); einsetze
kann man auch

$var = 'email@hallo.dot';

echo replaceMail($var); // umwandlung in unicode zeichen

Gut aber was hilft dir das? Mit zB. html_entity_decode kann jeder spider das umwandeln. Die beste Methode ist IMHO folgende:

PHP-Code:

 <?php
if (isset($_GET['userId']) && is_numeric($_GET['userId'])) {
    
    $userId = mysqli_real_escape_string($_GET['userId']);
    
    $sql = 'SELECT eMail FROM userTable WHERE userId='.$userId;
    
    if ($result = mysqli_quey($sql)) {
        
        if ($line = mysqli_fetch_object($result)) {
            
            header("Location:mailto:{$line->eMail}");
        }
    }
}
?>

Ein aufruf des Scripts könnte so aussehen: <a href="http://emaple.tld/mailto.php?userId=1">Mail an Huber Franz</a>

Zu Punkt 8:

Einfach

PHP-Code:

str_replace('../','',$variable); 


Zitat:

Um dich vor SQL-Injections zu schützen musst du in deiner php.ini magic_quotes_gpc auf On stellen, das bewirkt, dass Sonderzeichen in $_GET, $_POST und $_COOKIE escaped werden. Wenn du keinen Zugriff auf die php.ini hast bietet sich folgende Alternative:

magic_quotes_gpc grundsätzlich immer auf Off, macht nur Probleme. Warum sollte klar sein. Wird ja nicht umsonst in PHP 6 entfernt.

Wie schon in einem Beitrag El Barto geschrieben. Die entsprechende escape Funktion der Datenbank sollte grundsätzlich immer eingesetzt werden. addslashes () ist eine gute letzte Alternative.

Wichtig:
Werden prepared statements unterstüzt sollte man diese verwenden.