php

Sicherheit


Formulare:
Formulare werden oft benutzt um einen Code einzuschleusen.
Um dies zu verhindern verwenden wir htmlentities() bei der Abfrage des eingegebenen Text.
<form action="" method="post">
<input type="text" name="text">
<input type="submit" value="Senden">
</form>
<?php
$text = htmlentities($_POST['text']);
?>
Somit werden Versuche einen Code einzuschleusen erschwert.
GET/POST:
Formulare sollten generell nur per POST verschickt werden, da diese schwieriger zu manipulieren sind.
GET sollte nur verwendet werden falls keine andere Möglickeit besteht.
Da diese sehr einfach über die URL manipuliert werden können.
Dadurch sind übergebenen Werte von HTML zu PHP besser geschützt.