Sicherheit bei Formularen mit MySQL Anbindung

Begonnen von maui muc, 22. Februar 2009, 09:13:03

Vorheriges Thema - Nächstes Thema

maui muc

Hallo zusammen,
ich schreibe gerade ein kleines PHP Script über das sich User in eine Datenbank eintragen können. Das ganz soll folgendermaßen ablaufen. Der User füllt ein Formular aus, die eingegebenen Daten werden geprüft und anschließend in eine Datenbank gespeichert. So weit ist das auch kein Problem für mich.
Jetzt habe ich aber die Sorge, dass sich ein paar Spaßfögel finden, die über ein selbst erstelltes Formular meine Datenbank füttern. Das möchte ich möglichst unterbinden und so restriktiv wie möglich sein. Es sollen wirklich nur Daten von meinem eigenen Formular akzeptiert werden. Wie kann ich das am besten realisieren?
Besten Dank und viele Grüße
Stefan

Powie

Das ist wirklich garnicht easy, denn fast jedes Formular kann man fälschen. Die verbreitetste Variante ist aber den Referer auszuwerten, also zu schauen \"von\" welcher URL wurde das Script, welches den Input verabreitet, aufgerufen.
-> $_SERVER[\"HTTP_REFERER\"]

maui muc

Hallo Powie,
besten Dank für deine schnelle Antwort. Diese Variable scheint ein Schritt in die richtige Richtung zu sein. Zwar wird der Wert vom Browser des Useres gesendet, erschwert aber schon mal das fälschen des Formulars.
Jetzt stehe ich aber noch vor einer weiteren kleinen Herausforderung. Mit diesem Code überprüfe ich den HTTP_REFERER:
if (isset($_SERVER[\"HTTP_REFERER\"]) 
and $_SERVER[\"HTTP_REFERER\"] == \"http://\".$_SERVER[\"SERVER_NAME\"].$_SERVER[\"PHP_SELF\"]
and isset($_POST[\"submit\"])) {....}

 Dieser Vergleich hat aber massive Schwächen: Es wird zwischen Groß- und Klein-Schreibung unterschieden was unter Umständen zu Problemen führt.
Habt ihr einen Tipp für mich wie ich die Überprüfung des HTTP-Verweises besser gestalten kann?
Viele Grüße
Stefan

mahe

http://blog.mahe.at\" rel=\"external nofollow\">http://blog.mahe.at/wp-content/uploads/2007/06/88x31_1.jpg\" alt=\"88x31_1.jpg\">


Ja, diese Signatur dient zur Werbung!


Und dass ich meine Posts wiederfinde ...


maui muc

Mahe, besten Dank, das klappt wunderbar.

all your base are belong to us / Discord