Eingabedatenverarbeitung mit PHP für Sicherheit

Question

Ich schreibe einen Code, der die Benutzertexteingabe in einem Registrierungsformular verarbeitet. Ich habe die folgende Funktion, die dafür sorgen, implementiert, dass die Eingabedaten sicher:

function input_check($Indata, $dbc) {  // input_check($Indata, $dbc) 
    $Indata = trim($Indata);    // remove white spaces 
    $Indata = stripslashes($Indata);  // remove back slashes 
    $Indata = strip_tags($Indata);   // remove html tags 
    $Indata = htmlspecialchars($Indata); // convert html entities 
    $Indata = mysql_real_escape_string($Indata,$dbc); 
    return $Indata; 
} 

Gibt es eine andere Verarbeitung, die ich, um zu tun, um sicherzustellen, dass die Eingabe sicher ist?

Ich wollte sicher vor bösartigen Eingangsdaten

Answer 1

Ihre Strategie, alle möglichen Flucht Mechanismen nutzen, kann sicher sein, aber Ihre Anwendung zu komplex machen - sich vorstellen, was Sie tun müssen, um die Daten zu verwenden (das scheint später in einer MySQL-Datenbank gespeichert werden, oder?), um es später in einem HTML-Formular zu drucken.

Ein weiser Ansatz ist, um nur den ausreichenden Flucht-Mechanismus zu verwenden, abhängig von der Verwendung der Daten:

• zum Speichern von Daten in einer MySQL-Datenbank, verwenden Sie eine Datenbank zu entkommen Mechanismus (btw statt mysql_real_escape_string() die veraltet, verwenden Sie PDO::quote() oder noch besser parameter binding verwendet werden, die bereits für Sie nicht entkommen)
• gespeicherten Daten im hTML-Text drucken htmlspecialchars() verwenden, möglicherweise in Verbindung mit strip_tags()
• gespeicherten Daten in hTML-Attributen drucken Verwenden Sie htmlspecialchars() zusammen mit urlencode()

... und so weiter. Dann sind Sie wahrscheinlich sicher vor SQLInjection, XSS-Attacken und so weiter.