Welche Zeichen escapen, damit kein Code ausgeführt wird?

C

cmg

Mitglied
Hi,

ich habe auf meiner Homepage ein Formular, dort kann man seine Email-Adresse + andere Sachen eintragen. Die Daten sollen automatisch in eine fetchmailrc geschrieben werden.

Ich habe nun bedenken, dass irgendjemand auf die Idee kommt dort Code einzutragen, der Schaden auf meinem Server anrichten könnte.
Folgende Zeichen treten bei ordentlicher Nutzung auf keinen Fall auf: # & ' < > / \ ` |

Reicht es wenn ich diese Zeichen escape oder habt ihr noch andere Tipps?
 
Hi,
Folgende Zeichen treten bei ordentlicher Nutzung auf keinen Fall auf: # & ' < > / \ ` |

Reicht es wenn ich diese Zeichen escape oder habt ihr noch andere Tipps?

Warum escapen wenn diese Zeichen gar nicht vorkommen dürfen.
Überprüfer ob unerlaubte Zeichen vorkommen und wenn ja, dann gib eine Rückmeldung das die angegebenen Kontaktdaten nichtzulässige Zeichen aufweisen.
 
Die Daten sollen automatisch in eine fetchmailrc geschrieben werden.
Und was für eine email-Adresse müsste man angeben für eine "code-injection"?
(Geht das überhaupt bei einer fetchmailrc?)

Ansonsten stimme ich Syntov voll zu: lieber gewisse Eingaben direkt zurückweisen, anstatt wild mit Escaperei anzufangen. Ist imho zu fehleranfällig.
 

Ähnliche Themen

wer kann mir anhand eines beispiels mein problem lösen

Server-Monitoring mit RRDTool

Zurück
Oben