Thread CGI Sicherheit: Vermeidung gefährlicher Inhalte
(165 answers)
Opened by Gast at 2005-12-12 17:10
es bleibt jedem programmierer selbst überlassen, genau zu prüfen, was an wen
übergeben wird, da kann dir letztendlich auch niemand helfen. du bist derjenige, der weiß - wissen sollte! - wo du user-input hast und in welcher form der an wen weitergegeben wird. nicht blind alles escapen. du schriebst zum beispiel, dass du html-entities schon beim speichern escapen willst? warum das denn? wenn ich < und > eingebe, in ein forum z.B., kann das doch auch als < und > gespeichert werden. einzig und allein bei der ausgabe als HTML muss es escaped werden. Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem |