|
||||
htmlspecialchars tut ja eh nichts anderes, als ausschließlich die Zeichen zu maskieren, die selbst in utf-8 maskiert werden müssen: http://www.phpcenter.de/de-html-manu...cialchars.html
|
Sponsored Links |
|
||||
Hallo, Markus!
Das hier Code:
<p class="url">Quelle: <?php print htmlspecialchars("http://$_SERVER[HTTP_HOST]$_SERVER[REQUEST_URI]"); ?></p>
__________________
Informationen aus Koblenz-Metternich ----------------------------------- "Wissen heißt, Fragen zu erwerben." |
|
|||
Nachdem ich meine Seiten mit iso nr. dingsbums ausgebe, brauche ich das nicht zwingend,
PHP-Code:
Allerdings ist es lästig, beim Referenzieren mancher externer Urls die & in amps umzuwandeln, daher erstmal danke für den Tipp.
__________________
Grüsse Andreas- auch mal wieder da... Design isn't about the tools, it's about creating the best experience for the user. A design should be based on usability, accesibility, aesthetics, but never on floats, lists or background images. ( by Cameron Adams) Wiedergelesen: > hier und hier [Foren-Links] Dein Post? Klar, DAS vorher gelesen? Hilft. ## User-Landkarte |
|
||||
Ich glaube einige scheinen hier etwas durcheinander zu bringen. Egal welche Zeichenkodierung beziehungsweise welcher Zeichensatz verwendet wird: die HTML-Metazeichen müssen, sollen sie ihrer Funktion als Metazeichen enthoben werden, durch Zeichenreferenzen ersetzt werden.
Die HTML-Regeln sind aufgrund ihrer SGML-Wurzeln zwar etwas freigiebiger (so ist etwa „Foobar & Co.“ gültig, da auf das &-Zeichen, das eine Zeichenreferenz einleitet, ein Leerzeichen folgt), doch wer schon mal mit XML oder eben richtigem XHTML gearbeitet hat, wird es schon verinnerlicht haben. Ach ja: das Nichtmaskieren von Metazeichen ist übrigens die Hauptursache der meisten Sicherheitslücken von Webanwendungen. (Jetzt werden alle sicherlich hellhörig.) Stichwörter dafür sind etwa Cross-Site Scripting oder SQL-Injektionen.
__________________
Markus Wulftange Geändert von Gumbo (04.06.2007 um 01:14 Uhr) |
|
|||
@Andreas: Das ist wohl die Default-Einstellung des Boards, um vermutlich Smilie-Spams oder Grunz-Spams ( goil, wow, usw.) auszuschließen.
@Gumbo: Ebenfalls danke. Andererseits setze ich bisher für XSS und Co eine vom Autor geschaffene Eingabemöglichkeit für den Nutzer voraus. (Formular, Links mit interpretationsbedürftigen Parametern usw.) Täusche ich mich da?
__________________
Grüsse Andreas- auch mal wieder da... Design isn't about the tools, it's about creating the best experience for the user. A design should be based on usability, accesibility, aesthetics, but never on floats, lists or background images. ( by Cameron Adams) Wiedergelesen: > hier und hier [Foren-Links] Dein Post? Klar, DAS vorher gelesen? Hilft. ## User-Landkarte |
|
|||
Lass mich nicht dumm sterben
zur Not per pm oder Link
__________________
Grüsse Andreas- auch mal wieder da... Design isn't about the tools, it's about creating the best experience for the user. A design should be based on usability, accesibility, aesthetics, but never on floats, lists or background images. ( by Cameron Adams) Wiedergelesen: > hier und hier [Foren-Links] Dein Post? Klar, DAS vorher gelesen? Hilft. ## User-Landkarte |
Sponsored Links |
|
|||
Ist ganz einfach, sobald du die Superglobalen Arrays $_COOKIE, $_GET und/oder $_POST benutzt, solltest du die benutzten Inhalte vor irgendeiner Ausgabe, oder Benutzung für DB-Queries kodieren (mysql_(real_)escape_string, htmlentities/specialchars, ...), da alle diese Werte gefährlichen Code beinhalten können. Auch z.B. bei hidden-inputs, oder so.
Achja, für eval trifft das netürlich auch zu, aber das benutzt man ja sowieso nicht. |
Sponsored Links |
Themen-Optionen | |
Ansicht | |
|
|
Ähnliche Themen | ||||
Thema | Autor | Forum | Antworten | Letzter Beitrag |
Einfache und doppelte Anführungszeichen (und deren Kombination) in der Praxis | Pascolo | (X)HTML | 7 | 07.09.2010 14:44 |
Das semantische Web in der Praxis | kadees | Offtopic | 1 | 30.11.2006 22:06 |
Navigation generieren lassen: Eure Praxis | AndreasB | (X)HTML | 0 | 08.11.2006 10:53 |
Web Services in der Praxis beim W3C Tag | Webstandard | Offtopic | 0 | 03.08.2006 09:43 |
Praxis Buch XHTML (Daniel Koch) | hemfrie | Ressourcen | 0 | 02.01.2004 20:00 |