4. Tags entfernen

Tags entfernen

  • S
    Mod

    nicht "entweder oder" sondern "und".

    htmlentities weil man den text auf eine html seite schreibt und mysql_escape weil man es in die Datenbank schreibt.

    0
  • P

    naja je nach verwendung also oder 😛

    .. aber global betrachtet beides ja ^^

    0
  • ?

    EOP schrieb:

    gnjark schrieb:

    insofern sollte es ja vollkommen ausreichen diese beiden zeichen jeweils zu entfernen, dann ist der bösartige eindringling ja machtlos. stimmt das?

    Nein.

    und warum? kannst du mir bitte ein beispiel machen wie es doch möglich sein kann?

    0
  • ?

    ouuwwwwwwwww....! 😮 😮
    jetzt sehe ich etwas schlimmes. ich dachte immer ich sitze auf der sicheren seite wenn ich meine statements bereits mit '' einschliesse, aber nun sehe ich doch das man logischerweise mit einem einfachen trick das ganze abändern kann. viele benutzen in ihren statements ja garkeine '' und ichd achte eben da ich sie verwende und werte damit gleich einschliesse und weitere operatoren somit ausschliesse, sitze ich auf der guten seite, aber irrtum, in der tat. vielen dank für diesen guten sicherheits tipp 👍

    meine frage bezüglich den zeichen < und > bezog sich aber nur auf html ebene, nicht mysql. also nur auf der website darstellung. dort sollte das entfernen ja reichen oder? kein "<script" würde so funktionieren meiner meinung nach. und auch kein "?php>" etc.

    oder sehe ich auch hier ein grosses sicherheits loch nicht?

    0
  • D

    Womöglich funktioniert das. Aber warum den Nutzer unnötig einschränken? Nicht jeder, der ein "<" eingibt hat damit böswillige Absichten. Für den Fall ist htmlentities/specialchars wie bereits erwähnt viel besser.

    (Dieses Forum macht es anscheinend auch so.)

    0
  • ?

    das ist schon richtig. gleich mal schauen wie genau es dieses forum macht 🙂

    test:

    <script language="JavaScript">
    alert("Test");
    </script>

    <?php
    phpinfo();
    ?>

    0
  • ?

    wie ich sehe macht das forum genau das was ich vor habe. es ersetzt einfch nur < und >

    0
  • P

    könntets dich aber auch mal bei smarty einlesen für deine homepage und dann über |escape:"html"
    alles escapen. Template Systeme sind eh besser ^^

    0
  • E

    gnjark schrieb:

    EOP schrieb:

    gnjark schrieb:

    insofern sollte es ja vollkommen ausreichen diese beiden zeichen jeweils zu entfernen, dann ist der bösartige eindringling ja machtlos. stimmt das?

    Nein.

    und warum? kannst du mir bitte ein beispiel machen wie es doch möglich sein kann?

    Schon mal was von XSS, SQL injection oder exploiting gehört?

    0
  • Z

    gnjark schrieb:

    wie ich sehe macht das forum genau das was ich vor habe. es ersetzt einfch nur < und >

    nein, das Forum macht noch mehr, das (de-)maskieren passiert aber auf der Serverseite, wovon der User also nicht recht viel mitbekommt

    0
Anmelden zum Antworten