Opened by jonyder123 at 2008-01-04 13:15
User since
2003-08-04
12209 Artikel
Admin1
![[Homepage]](/battie/theme/default/homepage.gif)
2003-08-04
12209 Artikel
Admin1
Struppi+2008-01-05 00:22:10--Um z.b. XSS zu verhindern reicht es voll und ganz aus was ich vorgeschlagen habe.
nicht immer.
QuoteWenn ich Text habe, denn ich in einem HTML Code einbauen möchte, dann muss ich natürlich weiterdenken, es kommt halt drauf an wofür ich ihn verwenden will.
genau.
<input type="text" name="foo" value="$bar">
warum also nicht gleich zur sicherheit alles notwendige escapen? mein punkt war doch der,
dass es ja nicht schadet, gleich alles zu escapen. programmierer machen fehler, und es kann
schnell passieren, dass ich mal eine stelle vergesse und eben nicht genug escape.
deswegen benutze ich auch templating per default mit html-escape. alle variablen, die ans
template gehen, werden escaped [<>&"']. wenn ich es *nicht* will, muss ich es explizit im
template sagen. seit ich das mache, schreibe ich so sorglos meine templates wie sonst nie.
also, was spricht dagegen?
Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen:
Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
lesen:
Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem