Ist der Code sicherheitstechnisch ok?
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
array
beachten
code
date
datenbank
datum
eintrag
erfahren url
ergebnis
fehlgeschlagen grund
folgenden code
frage
freigeschaltet email
funktion
geschrieben name
http
post
url
-
Hi, ich habe folgenden Code um einen Gästebucheintrag in die Datenbank zu schreiben (via Wordpress $wpdb) und eine Benachrichtigungsmail zu schicken.
Die Funktion $wpdb->insert() benötigt die Daten im Rohformat, denn sie werden automatisch SQL escaped, so wie ich das verstanden habe... Meine Frage ist daher hauptsächlich, ob ich bei der Übergabe der POST-Daten an die mail()-Funktion noch etwas beachten muss... Ist hier htmlentities() oder soetwas nötig?
global $wpdb; $wpdb->hide_errors(); $ergebnis = $wpdb->insert('gaestebuch', array('Name' => $_POST['gbname'], 'Datum' => date('Y-m-d H:i:s'), 'Eintrag' => $_POST['gbeintrag'], 'Freigeschaltet' => 0, 'EMail' => $_POST['gbemail'])); if($ergebnis) { mail('xxx@xxx.de', 'Neuer Gästebucheintrag!', 'Am ' . date('Y-m-d H:i:s') . ' wurde ein neuer Gästebucheintrag geschrieben! Name: ' . $_POST['gbname'] . ' Eintrag: ' . $_POST['gbeintrag'], 'From: Webmaster <xxx@xxx.de>'); } else { mail('xxx@xxx.de', 'Fehlgeschlagener Gästebucheintrag', 'Am ' . date('Y-m-d H:i:s') . ' ist ein Gästebucheintrag fehlgeschlagen! Grund: ' . $wpdb->last_error, 'From: Webmaster <xxx@xxx.de>'); } -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
hier kanns du genaueres über das ganze erfahren:
Essential PHP Security by Chris Shiflett. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
