PHP-Filter für den Eigengebrauch

Teil 4: Sicherheit bei PHP: Bereinigen von Daten durch eine Web-Applikation

Die Ausgabe des Filters mit und ohne den Parameter FILTER_FLAG_NO_ENCODE_QUOTES scheint auf den ersten Blick identisch zu sein; erst ein Blick in den Quelltext offenbart Unterschiede. Ohne den Parameter FILTER_FLAG_NO_ENCODE_QUOTES:

filter_var($string, FILTER_SANITI
ZE_STRING);

werden die Anführungszeichen in HTML codiert: "' Mittels

filter_var($string, FILTER_
SANITIZE_STRING, FILTER_FLAG_NO_ENCODE_QUOTES);

werden sie nicht encodiert und dementsprechend im Klartext ausgegeben.

Der PHP-Filter FILTER_SANITIZE_STRING erlaubt es, mit den Parametern FILTER_FLAG_STRIP_LOW und FILTER_FLAG_STRIP_HIGH zwischen niedrigen (bis 32) und hohen (ab 32) ASCII-Zeichen zu unterscheiden. Zum Beispiel mittels

filter_var($string, FILTER_
SANITIZE_STRING, FILTER_FLAG_STRIP_HIGH);

werden aus der Zeichenkette neben Tags auch Umlaute entfernt. Von

<li><script>!@#$%^&*öüäß<script><br><p /><li />

bleiben dann nur diese Zeichen: !@#$%^&*

Bereinigen von Formular-Eingaben

Auch beim Bereinigen der Eingabe sollte zuerst sichergestellt werden, dass die betreffende Eingabequelle überhaupt existiert. Im nächsten Schritt wird die Eingabe mittels der Funktion filter_input() bereinigt.

Im Beispiel wird die Eingabevariable url mit der POST-Methode an das PHP-Skript übergeben:

if(!filter_has_var(INPUT_POST, "url"))
{
echo("Input type does not exist");
}
else {
$url = filter_input(INPUT_POST,
"url", FILTER_SANITIZE_URL);
}

Wurde die Eingabequelle bestätigt, werden die Daten um unerwünschte Zeichen bereinigt und in einer Variable namens $url erfasst. Handelt es sich bei der Eingabevariable um eine Zeichenkette wie beispielsweise http://www.M3aagnuoos.de/ gibt der Filter nach dem Bereinigen der Eingabe als $url-Variable http://www.Magnus.de/ aus.

Bereinigen von E-Mail-Adressen

Das Einschleusen von E-Mail-Headern gehört zu den führenden Ursachen von Spam. Es resultiert aus einem Fehler beim Entgegennehmen von Benutzereingaben aus Web-Formularen: dem Fehlen eines Filters zum Bereinigen von Code. Ein simples ungefiltertes Kontaktformular genügt, um Spam im großen Stil zu verbreiten. Ein Beispiel, wie man es nicht machen sollte:

Sicherheit bei PHP

© Archiv

Visualisieren von regulären Ausdrücken zum Validieren von E-Mail-Adressen (www.strfriend.com).
$email_an = jemand@adresse.de;
$header = 'From: ' . $_POST['email'];
$betreff = $_POST['betreff'];
$nachricht = 'Email from '.$_
POST['name']."\n";
$nachricht .= $_POST['nachricht'];
mail($email_an, $betreff, $nachricht,
$header);

Jedermann kann ein eigenes Web-Formular erstellen, mit dem er dann in der Lage ist, Daten an dieses Skript zu senden. Wer richtig böse Absichten hat, kann durch das Einfügen einer neuen Zeile an die Header beliebig viele BCC-Felder erzeugen und darauflos spammen.

Um dies zu verhindern, müssen alle POST-Variablen, die in den Headern zum Einsatz kommen, um den Zeilenvorschub bereinigt werden, zum Beispiel mittels:

function safeEmail($string) {
return preg_replace( '((?:\
n|\r|\t|%0A|%0D|%08|%09)+)i' , '', $string );
}

Darüber hinaus sollte das Skript die Daten validieren und die Länge der Felder überprüfen. Beim Bereinigen von E-Mail-Adressen mithilfe eigener Skripte werden viele PHP-Entwickler etwas übereifrig, indem Sie die Eingabe von Zeichen verbieten, die in einer E-Mail-Adresse vollkommen zulässig sind und in seltenen Fällen auch wirklich vorkommen können.

Die Filter-Erweiterung in PHP geht bei E-Mail-Adressen gründlich vor. Zum Beispiel das Bereinigen von:

$email = "klaus&sein.iphone@(email).
bei\\spiel.de";

mittels

filter_var($email, FILTER_SANITIZE_
EMAIL);

ergibt die vollkommen zulässige, obwohl vielleicht ungewöhnliche E-Mail-Adresse:

klaus&sein.iphone@email.beispiel.de

Mehr zum Thema

HTML5: Quick Reference Guide
Ratgeber: "HTML5"

Die wichtigsten Tags auf einen Blick: In unserem praktischen Arbeitsblatt finden Sie einen wertvollen Begleiter für die Umstellung Ihrer Webprojekte…
internet, webdesign, google, content, ranking, seo, suchmaschine
Ratgeber: Urheberrecht

Einzigartige Inhalte bieten Lesern Mehrwert und sind ein wichtiges Qualitätsmerkmal. Ärgerlich, wenn sich jemand durch Kopieren an fremden Ergebnissen…
Die besten HTML5-Tipps
Neue Tipps & Tricks für blitz.io

Wer die Leistung einer Applikation ermitteln möchte, braucht keine Skripte zu schreiben, sondern kann einen der zahlreichen Online-Dienste einspannen.…
image.jpg
Ratgeber: Webentwicklung

Die clientseitige Javascript-Entwicklung bietet fast keine Entwicklungsumgebungen und auch keine vernünftigen Werkzeuge zur Fehlersuche. Eine der…
internet, webdesign, meteor, webapplikationen
Ratgeber

Mit Meteor sollen Entwickler in kurzer Zeit Umgebungen für Webapplikationen erstellen können, ohne sich um lästige Details kümmern zu müssen. Wir…