Kontaktformular und Gästebuch, was beachten?
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
anfang
code
dank
eingegebene inhalte
erstellen
frage
frisch programmiert url
http
index
kurs
mensch
parameter
punkt
raten
schutz
sicherheit
sparen
tun
umgehen
url
-
Hallo,
ich hab mal ne Frage.
Was muss ich beim erstellen eines Kontaktformulares und eines Gästebuches generell beachten?
Gibt es iwelche Sicherheitslücken die ich schließen muss oder Datanschutz der beachtet werden muss.
wäre euch für schnelle Antworten dankbar! -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
2 Dinge:
1) Schutz vor XSS (mittels
bei der Ausgabe)htmlentities()
2) Schutz vor SQL-Injections (mittels
beim Verwenden von Parametern in einer SQL-Query).mysql_real_escape_string()
-
Moin,
da gibt es schon dass ein oder andere was man beachten könnte.
Sicherheitstechnisch:
=> Genanntes von hackyourlife
=> Captcha Prüfung
=> Reload Sperre (erübrigt sich bei Verwendung von einem Captcha)
=> Eingegebene Inhalte überprüfen z.B. via preg_match
Datenschutz:
=> Erübrigt sich eigenlich durch einen s.g. Haftungsausschluss
MfG -
hackyourlife schrieb:
antigegenhund schrieb:
XSS = Cross Site Scripting
XSS?
Was ist das?
seven-sign schrieb:
Fällt eher unter "Spamschutz"
=> Captcha Prüfung
seven-sign schrieb:
Kannst du dir sparen, wenn du die Beiden Punkte "XSS" und "SQL-Injection" befolgt hast.
=> Eingegebene Inhalte überprüfen z.B. via preg_match
Moin,
okay ich muss dir ja recht geben aber hat Spamschutz nichts mit Sicherheit zu tun?
Klar eine einfache Reloadsperre mit Sessions tut es am Anfang auch,
nur diese zu umgehen ist wohl noch leichter als ein Captcha.
MfG -
seven-sign schrieb:
hackyourlife schrieb:
antigegenhund schrieb:
XSS = Cross Site Scripting
XSS?
Was ist das?
seven-sign schrieb:
Fällt eher unter "Spamschutz"
=> Captcha Prüfung
seven-sign schrieb:
Kannst du dir sparen, wenn du die Beiden Punkte "XSS" und "SQL-Injection" befolgt hast.
=> Eingegebene Inhalte überprüfen z.B. via preg_match
Moin,
okay ich muss dir ja recht geben aber hat Spamschutz nichts mit Sicherheit zu tun?
Klar eine einfache Reloadsperre mit Sessions tut es am Anfang auch,
nur diese zu umgehen ist wohl noch leichter als ein Captcha.
MfG
Gibt da ja noch mehr Möglichkeiten.
Wenn dein Kontaktformular noch Emails an den schreibenden schickt muss auch die Emailadresse geprüft werden. Zumindest so, dass dieses dann nicht Spammails versenden kann. -
seven-sign schrieb:
Klar eine einfache Reloadsperre mit Sessions tut es am Anfang auch,
Und wenn man Cookies deaktiviert? Eine Session zu nutzen ist nicht ratsam, man sollte eher die IP Adresse mit einem Zähler in einer DB speichern. Wie man es allerdings dann schafft, dass auch wirklich nur einzelne Computer und nicht ganze Netzwerke mit vielen PCs gezählt werden, weiß ich nicht.
MFG THWBM -
Cookies, Sessions und IP kann man nutzen.. aber wie ich meine sind das nciht wirklich sichere Metoden.
Wie mein Vorposter bereits meinte, ist eine Reloadsperre durch den Captcha Code bereits gesichert. Und das ist bei einer anständigen Umsetzung auch die beste Möglichkeit Spamming zu verhindern.
Ich weiß garnicht wo es da noch Fragen oder ähnliches gibt.
Und nun zur Frage:
Man könnte eventuell noch die Inhalte nach "bösen" Wörtern filtern. Sprich Schimpfwörter und ähnliches herrausfilten bzw. den Eintrag mit solchen Inhalten erst garnicht erlauben.
Es ist zwar kein Sicherheitsrisiko, aber ich finde es immer gut, wenn man sowas ein baut. Da Beleidigungen leider oft vorkommen.
-
Wenn du ein CAPTCHA nimmst:
reCAPTCHA ist extrem schlecht lesbar(auch von Menschen)
Ich würde dir raten, entweder http://www.php-kurs.com/captcha-erstellen.htm das zu nehmen,
oder Meine verbesserte Lösung davon. Is frisch programmiert ventos.lima-city.de/captcha/captcha.png
Wenn du jetz meinst,toll, PNG, is ja immer das gleiche ^^
, kann nur sagen Geh auf den Link und drück
Paarmal reload -
danke werde es mir anschauen.
Das Gästebuch funkt. schonmal! -
Ich muss ncoh ne Bibliothek dazu Programmieren, ich lad sie dann Hoch und schick dir den Link per pm
-
okey danke!
-
ventos schrieb:
Wenn du ein CAPTCHA nimmst:
reCAPTCHA ist extrem schlecht lesbar(auch von Menschen)
Ich würde dir raten, entweder http://www.php-kurs.com/captcha-erstellen.htm das zu nehmen,
oder Meine verbesserte Lösung davon. Is frisch programmiert ventos.lima-city.de/captcha/captcha.png
Wenn du jetz meinst,toll, PNG, is ja immer das gleiche ^^
, kann nur sagen Geh auf den Link und drück
Paarmal reload
Für reCaptcha gibt es mittlerweile Programme, die die Captchas zu über 90% lösen und automatisch ausfüllen. -
Das meinte ich xD reCAPTCHA is so ziehmlich für Bots leicher lösbar als für menschen, weil das kaum was zufällig generiert wird.
-
Du solltest schon sehr genau auf Datenschutz achten
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage