[Mr_Maniac]

Hallo!

Ich betreibe eine kleine, private PHP-Seite und zudem noch ein Forum und Gästebuch für eine alte Klassen-Seite.
Ich habe so ziemlich alles (bis auf das phpBB2-Forum auf meiner Seite ) selbst geschrieben/programmiert und hätte jetzt einige Fragen zur Sicherheit.

Erst mal ein paar Infos:
1. Die Seite betreibe ich schon lange. War ursprünglich mal in ASP geschrieben.
2. Die "variablen" Daten werden in einer MySQL-DB gespeichert
3. Die Seiten laufen auf meinem PC und wenn der aus ist, laufen sie auf meinem kleinen Server/Router (falls das überhaupt wichtig/relevant ist )
4. Es geht hier hauptsächlich um mein Gästebuch/Forum

Ich schreibe gerade jetzt, weil mir etwas peinliches unterlaufen ist...
Ich habe die ganze Zeit vergessen, HTML-Tags zu verbieten/verändern... Das ist natürlich nicht sehr prickelnd
Nun hat mir heute jemand einen GB-Eintrag hinterlassen und - um mich ein wenig zu ärgern - sowohl ein iframe als auch einen kleinen JavaScript-Teil in diesem Eintrag hinterlassen... Das hat mein GB etwas zerschossen (also die HTML-Ausgabe)...

Bisher habe ich zumindest Variablen, die in MySQL-Queries kommen überprüfen lassen (mysql_real_escape_string). Nun lasse ich natürlich auch die größer- und kleiner-als Zeichen durch HTML-Code ersetzen...

Gibt es noch einige Sicherheits-Maßnahmen, die ich anwenden sollte?

Danke schonmal für alle Antworten... Auch wenn die Frage wohl etwas dümmlich ist...

Dieser Beitrag wurde von Mr_Maniac bearbeitet: 18. April 2006 - 13:39

[serval]

hi, also php sicher zu halten ist gar nicht so schwer. html eingaben würd ich sowieso immer verbieten, da zu verhindern dass das markup kaputt gemacht wird, ist viel komplex.
Also für den MySQLquery mysql_real_escape_string() benutzen
bei der ausgabe htmlentities oder htmlspecialchars und nl2br
damit bist du im grunde gegen datenbank injection und markup manipulation geschützt.