4. vor html-injection schützen?

vor html-injection schützen?

  • L

    Hi Leute 🙂

    Mal ne dämliche frage: Wie schütze ich mich vor HTML-injection (XSS)?

    Folgendes: Habe ein Gästebuch das mit php unterstützung generiert wird.
    Der eingegebene Text wird daher direkt (bisschen formatiert) in der
    entsprechenden Tabellenzelle eingefügt. Nun wie gesagt: er wird so gut wie gar nicht verarbeitet. Daher ist es möglich html einzufügen. Wie verhindere ich das?
    Gibts da einen einfachen html-tag welches den nachfolgenden text nicht als
    html interpretieren lässt? Wenn nicht, dann gibt es ne möglichkeit das aus php
    aus zu erreichen? Oder vielleicht kann ich das auf serverebene einstellen(apache)?

    Bitte um Hilfe 🙂

    ps:Ein bereits stattgefundener (demo-)Angriff fand auf meinen serv bereits statt 😞 Zu finden unter der adresse: http://pawelworld.homelinux.org/
    Und das ästebuch mit dem Injection angriff: http://pawelworld.homelinux.org/showbook.php

    Ist leider nicht immer (eher selten) online 😞

    Nebenbei: Da ich das ganze an 1Mb/s ADSL gehängt habe würde ich mich
    auch freuen wenn ihr sagen könntet wie lange es dauert bis bei euch ales geladen hat 🙂 (meine frage oben ist aber wichtiger)

    THX

    0
  • S
    Mod

    Entweder strip_tags() oder htmlentities()

    Nie Eingabedaten ohne Validierung weiterverarbeiten.

    0
Anmelden zum Antworten