Hallo wie kann ich verhindern das vom user ausführbaren code in z.B. Textfeldern auf der serverseite geprüft und nciht ausgeführt wird. (Input Eingaben Absichern)?
THeoretisch hat Shopware schon einen XSS Schutz. Du kannst natürlich extra noch htmlspecialchars() benutzen oder strip_tags().
VG
Daten, die du per getParams holst sind schon escaped. Sprich auf der Server-Seite kann nichts großartiges passieren. Wenn du user eingaben in Datenbankqueries benutzt, kannst du ja sicherheitshalber den querybuilder benutzen, der hat prepared statements.
Auf der Clientseite, sprich du lieferst Content als HTML inhalt aus, welcher ursprünglich von Usern erstellt wurde (z.B. FAQ-Fragen, Bemerkungen, Kommentare …) dann wie wabAB gesagt hat, bietet shopware schon einen XSS Schutz und mit strip_tags / htmlspecialchars kannste auf nummer sichern gehen bevor du den Inhalt mit smarty renderst.
Hallo wabAB und langnickel,
danke für eure Antworten. Also kann ich zur Sicherheit htmlspecialchars() order strip_tags() nutzen. Derzeit hole ich die Parameter alle wie folgt:
$email = $this->Request()->getParam('email', null);
Dabei ist $this eine Klasse die von Shopware_Controllers_Api_Rest Erbt. ist diese Methode auch abgesichert? Ich werde erstmal zur sicherheit noch eimal die von euch genannten Methoden für die ankommenden Daten nutzen. Prepared Statements nutze ich bereits. Sind Post Parameter nicht escaped und von Shopware abgesichert?
Hallo Shopware Community und User. Am besten ist natürlich dafür sorgen die Daten nie zu verlieren. Natürlich kann es jedem mal passieren und deswegen muss man vorsorgen. Am besten du hast eine Software die Daten und sämtlich zugehörigen Geräte absichert wie zum Beispiel […]
Also mein Betrieb arbeitet damit und wir haben da kein Kopfweh mehr was unsere Datensicherung in allen Formen angeht. Denke damit wirst du auch am besten fahren musst du natürlich selbst wissen. Noch einen schönen Abend und bis bald.
Werbung entfernt und geschlossen.
Viele Grüße