lidt om sikkerhed

Det der er ihvertfald ikke godt. Du er pivaaben for SQL injection.

Minimum noget PHP escaping.

Bedre MySQL escaping.

Bedst mysqli og parameters (eller PDO).

Det der er ihvertfald ikke godt. Du er pivaaben for SQL injection.
Jamen det er lige præsis det jeg gik efter, efter som det er et eksempel. Men med alle de fag udtryk kan jeg finde en masse. Men jeg ved ikke hvordan det skal strikkes sammen.

PS: der vil ikke ske en dyt efter som den ikke er conekted
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html>
<head>
<title>Lidt op sikkerhed </title>
</head>
<body>

<form method="post" action="#">
<input type="text" name="tekst">
</form>

<?php
echo '
      <div style="width:300px;">
      '$_POST['tekst'].'
      </div>
    ';
mysql_connect("server", "brugernavn", "password") or die(mysql_error());
mysql_select_db("databasenavn") or die(mysql_error());
mysql_query("INSERT INTO tekst (tekst) VALUES (".$_POST['tekst'].")") OR DIE(mysql_error());
?>

</body>
</html>

Jeg vil altså godt lære noget, og påfylde en ting af gangen på min dårlige PHP-fil så den bliver mere sikker hen af vejen

Start med at laere mysqli og prepared statement (som parameters hedder i PHP).

Måske dette kan hjælpe lidt med din sikkerhed http://www.eksperten.dk/spm/865377

Det skal dog siges at erikjacobsen også anbefalder mysqli som arne_v også gør.

det virker ikke som om at PDO og mysqli er noget som kan bruges sammen, da de "gøre det samme".

Jeg har forsøgt med mysqli og det ser sådan ud nu.
Jeg er dog lidt i tvivl om det er den rigtige måde at udskive fejl på.
    else
    {
    printf("Errorcode: %s\n", $stmt->error);
    }

_____________________________________________

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html>
<head>
<title>Lidt op sikkerhed </title>
</head>
<body>

<form method="post" action="#">
<input type="text" name="tekst">
</form>

<?php
echo '
      <div style="width:300px;">
      '$_POST['tekst'].'
      </div>
    ';
$mysqli = new mysqli("localhost", "brugernavn", "kodeord", "databasenavn");
if (mysqli_connect_errno())
{
    printf("Fejl ved tilslutning: %s\n", mysqli_connect_error());
    exit();
}
    if ($stmt = $mysqli->prepare("INSERT INTO tekst (tekst) VALUES (?)"))
    {
    $stmt->bind_param("s", $_POST['tekst']);
    $stmt->execute();
    $stmt->close();
    }
    else
    {
    printf("Errorcode: %s\n", $stmt->error);
    }
$mysqli->close();
?>
</body>
</html>

Ja - det er mysqli *eller* PDO.

Ovenstaaende skulle beskytte mod SQL injection.

Du boer dog stadig validere input for at beskytte mod XSS.

Med hensyn til fejl haandtering boer du overveje om du skal logge en teknisk fejlmeddelelse til admin og give brugeren en mere bloed besked.

Jeg har nu også tænkt mig at logge fejlkode.
Men hvad er XSS og er der nogle funktioner man bør kende.

http://en.wikipedia.org/wiki/Cross-site_scripting

Okay nu tror jeg at jeg har nogen lunde styr på hvad XSS er, og der skal en del reg.exp. for at komme det til livs. Men er der andet end reg.exp der kan bruges.

Du skal validere input.

Husk at du skal validere positivt (kun acceptere det som vi er 100% sikre paa er OK) ikke negativt (kun afvise det som vi er 100% sikre paa er farligt).

Regex er standard til rigtigt mange former for validering.

Jamen tak for de gode råd. Er der nogen dre ville have point ?

jeg samler

Det kan jeg se :D