Kommentare zu: Sicherer Umgang mit der Request Variablen http://www.phphatesme.com/blog/allgemein/sicherer-umgang-mit-der-request-variablen/ PhpHatesMe, but that's ok! Mon, 06 Feb 2012 20:59:49 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Von: Bastian http://www.phphatesme.com/blog/allgemein/sicherer-umgang-mit-der-request-variablen/comment-page-1/#comment-37100 Bastian Fri, 06 Nov 2009 15:37:55 +0000 http://www.phphatesme.com/?p=881#comment-37100 Ich habe letzten filter_input_array() für mich entdeckt. Nette kleine mächtige PHP-Funktion. Ich habe letzten filter_input_array() für mich entdeckt. Nette kleine mächtige PHP-Funktion.

]]> Von: Nils Langner http://www.phphatesme.com/blog/allgemein/sicherer-umgang-mit-der-request-variablen/comment-page-1/#comment-180 Nils Langner Wed, 05 Nov 2008 12:09:58 +0000 http://www.phphatesme.com/?p=881#comment-180 Die Intension der beiden Parameter war einfach die Möglichkeit für eine bestimmte Variable vom Standard Filter abzuweichen und einen hinzuzufügen oder zu entfernen. Die Intension der beiden Parameter war einfach die Möglichkeit für eine bestimmte Variable vom Standard Filter abzuweichen und einen hinzuzufügen oder zu entfernen.

]]> Von: Frank Kleine http://www.phphatesme.com/blog/allgemein/sicherer-umgang-mit-der-request-variablen/comment-page-1/#comment-179 Frank Kleine Wed, 05 Nov 2008 10:05:53 +0000 http://www.phphatesme.com/?p=881#comment-179 Den Ansatz finde ich problematisch. Wenn ich Werte nur in die Datenbank übernehme will ich die nur für den Eintrag in der DB absichern, aber nicht für die Ausgabe im Browser. Bei Deinem Ansatz muss ich jetzt den Filter für die Browserausgabe abstellen. Ich finde, damit drückt sich im Code nachher nicht mehr klar die Intention aus, was ich eigentlich will, nämlich einen Wert in die DB schreiben und den entsprechend vorher filtern. Bislang bin ich nämlich nicht dahinter gestiegen, was Deine Intention beim mit dem zweiten und dritten Parameter für das Filtern des Usernamen ist. Den Ansatz finde ich problematisch. Wenn ich Werte nur in die Datenbank übernehme will ich die nur für den Eintrag in der DB absichern, aber nicht für die Ausgabe im Browser. Bei Deinem Ansatz muss ich jetzt den Filter für die Browserausgabe abstellen. Ich finde, damit drückt sich im Code nachher nicht mehr klar die Intention aus, was ich eigentlich will, nämlich einen Wert in die DB schreiben und den entsprechend vorher filtern. Bislang bin ich nämlich nicht dahinter gestiegen, was Deine Intention beim mit dem zweiten und dritten Parameter für das Filtern des Usernamen ist.

]]> Von: Nils Langner http://www.phphatesme.com/blog/allgemein/sicherer-umgang-mit-der-request-variablen/comment-page-1/#comment-178 Nils Langner Wed, 05 Nov 2008 09:54:13 +0000 http://www.phphatesme.com/?p=881#comment-178 Ok bei meinem Ansatz sehe ich jetzt noch ein Problem. Wie kann man es schaffen, alle Filter zu entfernen. Da ich eine Singleton habe, weiß ich ja gar nicht, welche Filter aktiv sind. Dafür gefällt es mir aus der Sicherheitssicht besser, dass man die Filter entfernen muss und nicht hinzufügen. Ok bei meinem Ansatz sehe ich jetzt noch ein Problem. Wie kann man es schaffen, alle Filter zu entfernen. Da ich eine Singleton habe, weiß ich ja gar nicht, welche Filter aktiv sind.

Dafür gefällt es mir aus der Sicherheitssicht besser, dass man die Filter entfernen muss und nicht hinzufügen.

]]> Von: Frank Kleine http://www.phphatesme.com/blog/allgemein/sicherer-umgang-mit-der-request-variablen/comment-page-1/#comment-177 Frank Kleine Wed, 05 Nov 2008 09:05:33 +0000 http://www.phphatesme.com/?p=881#comment-177 Stubbles macht sowas ähnliches. Deine Beispiele würden dort ungefähr so aussehen: $isReadOnly = $request->getValidatedValue(new stubPreselectValidator(array(true, false)), 'isReadOnly'); $userId = $request->getFilteredValue(stubStringFilterFactory::forType('int'), 'userId'); $username = $request->getFilteredValue(stubStringFilterFactory::forType('string')->length(1, 50)->asRequired()->defaultsTo('anonymous'), 'username'); Wobei sich bei den Filtern alle beliebig kombinieren lassen. Man wird also immer daran erinnert, einen Filter oder Validator zu benutzen. Trotzdem kommt man an den rohen Wert genauso heran - man muss dann eben explizit einen entsprechenden Filter einsetzen. Als Singleton würde ich den Request aber nicht bauen, ich brauche den schließlich nur einmal erzeugen und kann den dann überall mitgeben wo er benötigt wird. Macht sich besser beim Testen. Stubbles macht sowas ähnliches. Deine Beispiele würden dort ungefähr so aussehen:

$isReadOnly = $request->getValidatedValue(new stubPreselectValidator(array(true, false)), ‘isReadOnly’);
$userId = $request->getFilteredValue(stubStringFilterFactory::forType(‘int’), ‘userId’);
$username = $request->getFilteredValue(stubStringFilterFactory::forType(‘string’)->length(1, 50)->asRequired()->defaultsTo(‘anonymous’), ‘username’);

Wobei sich bei den Filtern alle beliebig kombinieren lassen. Man wird also immer daran erinnert, einen Filter oder Validator zu benutzen. Trotzdem kommt man an den rohen Wert genauso heran – man muss dann eben explizit einen entsprechenden Filter einsetzen.

Als Singleton würde ich den Request aber nicht bauen, ich brauche den schließlich nur einmal erzeugen und kann den dann überall mitgeben wo er benötigt wird. Macht sich besser beim Testen.

]]>