Alleen letters, cijfers, streepjes en punten toestaan in textvak bij PHP

[EL PIÑO]

Ik ben bezig met een simpel-whois scriptje in PHP, via het Linux-commando 'whois'.

 

Echter nu wil ik voorkomen dat men door er het pipe-teken ('|') en een opdracht achter te zetten ook andere opdrachten kan uitvoeren, ik dacht dit op te lossen door alleen cijfers (0-9) letters (A-Za-z) en een liggend streepje (-) of punt (.) toe te laten in het textvakje, maar hoe doe ik dit het beste?

 

Of is er een betere manier om één en ander hier tegen te beschermen.

[Big fellow]

Met een regex (regular expression)? http://nl.php.net/manual/en/ref.regex.php

Trouwens in z'n algemeenheid heel erg oppassen met system calls... Als het even kan zou ik voor je whois script de web interface van de registrar gebruiken. Is gemakkelijker en veiliger!

 

Big fellow

[EL PIÑO]

Het is puur voor eigen gebruik hoor, een simpel 'lean and mean' scriptje als ik ff snel wat wil checken. Heb inmiddels iets gevonden waardoor ik geen overige systemcalls in het veld kan invoeren. Als ik het zo doe:

 

Code:

   UW PICO 4.10                 File: whois.php           system('whois '.escapeshellarg($domain));

 

En ik typ achter bijv. de domeinnaam | cat /proc/cpuinfo, dan zou ik eerst de processorinfo te zien krijgen, nu geeft hij 'No whois server is known for this kind of object.' aan, omdat hij het als één opdracht achter whois behandelt.

 

$domain is hier natuurlijk de domeinnaam of het IP-adres dat in het tekstvak wordt ingevuld.

[Duwgati]

Hier heb je een mooie whois class in php (zie bijlage). Compleet met string validatie.

1271933-whois.zip

[EL PIÑO]

Ik zal eens kijken, overigens werkt mijn oplossing ook perfect hoor. Het is ook nog eens gemaakt voor wat ik wil namelijk: veilig systeemcommando's uitvoeren vanuit PHP.