PHP-Filter für den Eigengebrauch

Teil 4: Sicherheit bei PHP: Bereinigen von Daten durch eine Web-Applikation

Die Ausgabe des Filters mit und ohne den Parameter FILTER_FLAG_NO_ENCODE_QUOTES scheint auf den ersten Blick identisch zu sein; erst ein Blick in den Quelltext offenbart Unterschiede. Ohne den Parameter FILTER_FLAG_NO_ENCODE_QUOTES:

filter_var($string, FILTER_SANITI
ZE_STRING);

werden die Anführungszeichen in HTML codiert: "' Mittels

filter_var($string, FILTER_
SANITIZE_STRING, FILTER_FLAG_NO_ENCODE_QUOTES);

werden sie nicht encodiert und dementsprechend im Klartext ausgegeben.

Der PHP-Filter FILTER_SANITIZE_STRING erlaubt es, mit den Parametern FILTER_FLAG_STRIP_LOW und FILTER_FLAG_STRIP_HIGH zwischen niedrigen (bis 32) und hohen (ab 32) ASCII-Zeichen zu unterscheiden. Zum Beispiel mittels

filter_var($string, FILTER_
SANITIZE_STRING, FILTER_FLAG_STRIP_HIGH);

werden aus der Zeichenkette neben Tags auch Umlaute entfernt. Von

<li><script>!@#$%^&*öüäß<script><br><p /><li />

bleiben dann nur diese Zeichen: !@#$%^&*

Bereinigen von Formular-Eingaben

Auch beim Bereinigen der Eingabe sollte zuerst sichergestellt werden, dass die betreffende Eingabequelle überhaupt existiert. Im nächsten Schritt wird die Eingabe mittels der Funktion filter_input() bereinigt.

Im Beispiel wird die Eingabevariable url mit der POST-Methode an das PHP-Skript übergeben:

if(!filter_has_var(INPUT_POST, "url"))
{
echo("Input type does not exist");
}
else {
$url = filter_input(INPUT_POST,
"url", FILTER_SANITIZE_URL);
}

Wurde die Eingabequelle bestätigt, werden die Daten um unerwünschte Zeichen bereinigt und in einer Variable namens $url erfasst. Handelt es sich bei der Eingabevariable um eine Zeichenkette wie beispielsweise http://www.M3aagnuoos.de/ gibt der Filter nach dem Bereinigen der Eingabe als $url-Variable http://www.Magnus.de/ aus.

Bereinigen von E-Mail-Adressen

Das Einschleusen von E-Mail-Headern gehört zu den führenden Ursachen von Spam. Es resultiert aus einem Fehler beim Entgegennehmen von Benutzereingaben aus Web-Formularen: dem Fehlen eines Filters zum Bereinigen von Code. Ein simples ungefiltertes Kontaktformular genügt, um Spam im großen Stil zu verbreiten. Ein Beispiel, wie man es nicht machen sollte:

Sicherheit bei PHP

© Archiv

Visualisieren von regulären Ausdrücken zum Validieren von E-Mail-Adressen (www.strfriend.com).
$email_an = jemand@adresse.de;
$header = 'From: ' . $_POST['email'];
$betreff = $_POST['betreff'];
$nachricht = 'Email from '.$_
POST['name']."\n";
$nachricht .= $_POST['nachricht'];
mail($email_an, $betreff, $nachricht,
$header);

Jedermann kann ein eigenes Web-Formular erstellen, mit dem er dann in der Lage ist, Daten an dieses Skript zu senden. Wer richtig böse Absichten hat, kann durch das Einfügen einer neuen Zeile an die Header beliebig viele BCC-Felder erzeugen und darauflos spammen.

Um dies zu verhindern, müssen alle POST-Variablen, die in den Headern zum Einsatz kommen, um den Zeilenvorschub bereinigt werden, zum Beispiel mittels:

function safeEmail($string) {
return preg_replace( '((?:\
n|\r|\t|%0A|%0D|%08|%09)+)i' , '', $string );
}

Darüber hinaus sollte das Skript die Daten validieren und die Länge der Felder überprüfen. Beim Bereinigen von E-Mail-Adressen mithilfe eigener Skripte werden viele PHP-Entwickler etwas übereifrig, indem Sie die Eingabe von Zeichen verbieten, die in einer E-Mail-Adresse vollkommen zulässig sind und in seltenen Fällen auch wirklich vorkommen können.

Die Filter-Erweiterung in PHP geht bei E-Mail-Adressen gründlich vor. Zum Beispiel das Bereinigen von:

$email = "klaus&sein.iphone@(email).
bei\\spiel.de";

mittels

filter_var($email, FILTER_SANITIZE_
EMAIL);

ergibt die vollkommen zulässige, obwohl vielleicht ungewöhnliche E-Mail-Adresse:

klaus&sein.iphone@email.beispiel.de

Mehr zum Thema

Youtube Sperre umgehen GEMA
Videos freischalten

So umgehen Sie die GEMA-Sperre bei Youtube. Was Sie dazu brauchen, und wie es am einfachsten geht.
Neue Fritzboxen unterstützen den AC-Standard.
WLAN-Geschwindigkeit verdoppeln

Mehr WLAN-Geschwindigkeit: Mit dem WLAN-Standard 802.11ac und den richtigen Geräten und Einstellungen verdoppeln Sie den Datendurchsatz.
Netflix auf dem TV
Programm in der Übersicht

Welche Filme und Serien gibt es bei Netflix eigentlich zu sehen? Was ist neu im Streaming-Angebot? Diese Antworten helfen weiter.
Netflix
Streaming

Preise, kompatible Geräte, Datenrate, Serien- und Filmangebot von Netflix: Wir beantworten die wichtigsten Fragen rund um den Streaming-Dienst.
E.T. – Der Außerirdische
Vorschau auf Film- und Serien-Highlights

Amazon Prime Instant Video lockt im Dezember 2016 mit Film-Highlights wie "E.T.", "Fast & Furious 7" und der Serie "Ku’damm 56​".