• Home
• Kontakt
• Datenschutz
• Impressum

Was ist Datenvalidierung?

In diesem Artikel geht es um Datenvalidierung. Es geht also um die Validierung von Daten, die über ein Webformular erfasst werden und an eine Datenbank weitergeleitet werden. Die Datenvalidierung dient dabei dem Datenschutz von gespeicherten Informationen in einer Datenbank.

Wenn ein Formular zur Dateneingabe im Web zur Verfügung gestellt wird, müssen alle Felder, die nicht mit festen Werten oder Auswahllisten vorbelegt sind, auf ihre Plausibiltät hin überprüft werden. Das bedeutet, dass die vom Benutzer eingegebenen Daten validiert werden müssen,also überprüft werden muss, ob die Daten einem bestimmten erwarteten Format entsprechen. All das geschieht schon bevor die Daten zur Speicherung an die Datenbank geschickt werden.

Neben der Erhöhung der Sicherheit bekommt man so durch eine gute Validierung der Eingabedaten auch eine gesteigerte Nutzererfahrung, da Falscheingaben so frühzeitig abgefangen werden.

Prinzipiell sollten alle Eingaben der Benutzer überprüft werden und durch geeignete Hinweise auf Falscheingaben hinweisen. So passiert ein Vertipper bei der E-Mail-Adresse schnell und kann ärgerlich sein, wenn dieses nicht auffällt.

Datenvalidierung im Frontend

Was ist ein Frontend? Als Frontend bezeichnet man die Präsentationsebene einer Anwendung, das ist also der Teil der Anwendung, den der Benutzer sehen kann und mit dem er interagiert.

Oft wird der Fehler gemacht, die Datenvalidierung nur im Frontend zu implementieren. Beispielsweise wird mittels JavaScript die Eingaben in einem Formular überprüft.

Sollte der Benutzer eine falsche Eingabe machen so erscheint eine Warnung mit einem Hilfetext, welches Format erwartet wird, zum Beispiel, dass in dem Feld nur eine Zahl erlaubt ist.

Aus Sicht der Benutzerfreundlichkeit ist dies super, aus der Sicherheitsperspektive bringt dies aber herzlich wenig. Ein Angreifer könnte einfach die JavaScript-Validierung deaktivieren und schon beliebige, möglicherweise boshafte Eingaben tätigen.

Daher sollte eine Validierung stets auch im Backend erfolgen.

Validierung im Backend

Was ist ein Backend? Als Backend bezeichnet man die Datenzugriffsebene, das ist der Teil einer Applikation, der (im Gegensatz zum Frontend) nicht für den Benutzer sichtbar ist. Es beinhaltet jegliche Programmierung der Applikation und den Administrationsbereich.

Nachdem die Benutzerdaten abfragt wurden, sollte direkt die Überprüfung dieser Daten stattfinden. So wird das Risiko, dass boshafte Eingaben Schaden anrichten können, minimiert.

Verschiedene Beispiele für solche Validierungen sind:

• Überprüfung ob der eingegebene Wert (z. B. eine ganze Zahl) zum vorgegebenen Feldformat passt
• Überprüfung ob ein Feld ausgefüllt ist
• Überprüfung auf die Gültigkeit einer E-Mail-Adresse
• Überprüfung auf die Gültigkeit einer URL (Internetadresse)
• Überprüfung der Länge der Eingabe

Manchmal sind auch kompliziertere Regeln für die Überprüfung der Eingaben notwendig. In diesen Fällen kann man auf Reguläre Ausdrücke zurückgreifen.

Das Plausibilisieren von Formulareingaben im Backend

Das Plausibilisieren (auch Verifizieren genannt) eines Webformulars bedeutet also, die Schlüssigkeit der Anwendereingaben vor dem Versenden der Daten oder zumindest vor dem Eintragen in eine Datenbank zu kontrollieren und bei Widersprüchen zu den geforderten Vorgaben Gegenmaßnahmen zu ergreifen.

Dazu sollte man die folgenden Fragen beantworten:

• Welche Formularfelder müssen kontrolliert werden?
• Welche Abhängigkeiten zwischen Benutzereingaben und Formularfeldern gibt es?
  Beispiel: Die Angabe einer Hausnummer ist zum Beispiel sinnlos, wenn nicht zusätzlich eine Straße angegeben wurde.
• Wie genau muß plausibilisiert werden und welche individuellen Regeln gelten bei jedem Feld?
  Das umfasst beispielsweise Fragen, ob es bei einem Feld genügt, dass es gefüllt ist (ein sogenanntes Pflichtfeld), oder ob der Inhalt eine bestimmte Form haben muss (etwa nur numerisch sein).
• Wird die Plausibilisierung auf dem Server und/oder auf dem Client durchgeführt?
  Meist ist in der Praxis eine redundante Überprüfung unabdingbar, das heißt, daß die Überprüfung der Eingabedaten auf dem Server und auf dem Client durchgeführt wird.
• Wenn man auf dem Client plausibilisiert (meist mit JavaScript oder unter Umständen bereits mit HTML) – wann wird plausibilisiert?
• Kontrolliert man zum Beispiel die Benutzereingaben direkt auf einem Eingabefeld, beim Verschicken eines Formulars oder beim Verlassen einer Webseite?
• Wenn man auf dem Server plausibilisiert – macht man das auf der Programmierebene (etwa mit PHP) oder überlässt man das der Datenbank, wenn man eine solche verwendet?
• Die Datenbank stellt selbstverständlich durch die maximale Länge der Felder und deren Datentypen sowie weitere Metatypen (Index, Eindeutigkeit etc.) auch eine Art Plausibilisierungssystem bereit, da inkonsistente Werte bezüglich der Struktur vom DBMS abgelehnt oder unter Umständen gekürzt werden.

Bei einem Plausibilisierungskonzept muß viel beachtet werden. Hier eine vernünftige Abwägung zwischen notwendigen Prüfungen, deren tatsächlicher Umsetzung und realisierbarem Aufwand zu finden, ist alles andere als einfach.

Die folgende Abbildung zeigt die Plausibilisierung von Anmeldedaten eines Benutzers als Flußdiagramm: