Opened by jonyder123 at 2008-01-04 13:15
User since
2003-08-04
12209 Artikel
Admin1
![[Homepage]](/battie/theme/default/homepage.gif)
2003-08-04
12209 Artikel
Admin1
der sauberkeit halber:
in der datenbank wird der originaltext gespeichert. zur ausgabe lässt man HTML::Entities
drüberlaufen. und gequotet wird bitte nicht nur das '<', sondern [<>"'&]
warum was minimales empfehlen, wenn es nicht für alle fälle ausreicht?
soll einfach html in anderes vorhandenes html eingefügt werden, mag das ausreichen,
aber sobald ein wert in ein html-attribut eingefügt wird, wird dir ein nicht gequotetes " das
ganze zerschiessen.
also, hier bitte auf nummer sicher gehn. es gibt soviele seiten, die xss anfällig sind,
dass ich mich immer wieder frage, warum entwickler entweder gar nicht dran denken oder
sich so eine minimalistische lösung wie 'muss nur < umgewandelt werden' basteln.
desweiteren: fangt mit utf8 an. gut, das behandeln von utf8 in perl 5.6 ist nicht besonders
schön, aber ansonsten spart ihr euch eine menge ärger.
in der datenbank wird der originaltext gespeichert. zur ausgabe lässt man HTML::Entities
drüberlaufen. und gequotet wird bitte nicht nur das '<', sondern [<>"'&]
warum was minimales empfehlen, wenn es nicht für alle fälle ausreicht?
soll einfach html in anderes vorhandenes html eingefügt werden, mag das ausreichen,
aber sobald ein wert in ein html-attribut eingefügt wird, wird dir ein nicht gequotetes " das
ganze zerschiessen.
also, hier bitte auf nummer sicher gehn. es gibt soviele seiten, die xss anfällig sind,
dass ich mich immer wieder frage, warum entwickler entweder gar nicht dran denken oder
sich so eine minimalistische lösung wie 'muss nur < umgewandelt werden' basteln.
desweiteren: fangt mit utf8 an. gut, das behandeln von utf8 in perl 5.6 ist nicht besonders
schön, aber ansonsten spart ihr euch eine menge ärger.
Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen:
Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
lesen:
Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem