Opened by Gast at 2005-12-12 17:10
User since
2003-08-04
12208 Artikel
Admin1
![[Homepage]](/battie/theme/default/homepage.gif)
2003-08-04
12208 Artikel
Admin1
[quote=Bauhaus,15.12.2005, 13:54][quote=pq,14.12.2005, 13:18]nicht blind alles escapen. du schriebst zum beispiel, dass du html-entities
schon beim speichern escapen willst? warum das denn? wenn ich < und >
eingebe, in ein forum z.B., kann das doch auch als < und > gespeichert werden.[/quote]
Da eben, bin ich mir absolut nicht sicher.
[/quote]
vielleicht solltest du meine beiträge ganz lesen.
[quote=pq,14.12.2005, 13:18]es bleibt jedem programmierer selbst überlassen, genau zu prüfen, was an wen
übergeben wird, da kann dir letztendlich auch niemand helfen.
du bist derjenige, der weiß - wissen sollte! - wo du user-input hast und in
welcher form der an wen weitergegeben wird.
nicht blind alles escapen. du schriebst zum beispiel, dass du html-entities
schon beim speichern escapen willst? warum das denn? wenn ich < und >
eingebe, in ein forum z.B., kann das doch auch als < und > gespeichert werden.
einzig und allein bei der ausgabe als HTML muss es escaped werden.[/quote]
nur suspekt erscheinen ist aber keine grundlage, auf der man arbeiten sollte.
was glaubst du denn, welcher inhalt für eine datei, die so den ganzen
tag auf der platte rumliegt, gefährlich ist? keiner. außer zuviel inhalt vielleicht.
schon beim speichern escapen willst? warum das denn? wenn ich < und >
eingebe, in ein forum z.B., kann das doch auch als < und > gespeichert werden.[/quote]
Da eben, bin ich mir absolut nicht sicher.
[/quote]
vielleicht solltest du meine beiträge ganz lesen.
[quote=pq,14.12.2005, 13:18]es bleibt jedem programmierer selbst überlassen, genau zu prüfen, was an wen
übergeben wird, da kann dir letztendlich auch niemand helfen.
du bist derjenige, der weiß - wissen sollte! - wo du user-input hast und in
welcher form der an wen weitergegeben wird.
nicht blind alles escapen. du schriebst zum beispiel, dass du html-entities
schon beim speichern escapen willst? warum das denn? wenn ich < und >
eingebe, in ein forum z.B., kann das doch auch als < und > gespeichert werden.
einzig und allein bei der ausgabe als HTML muss es escaped werden.[/quote]
QuoteUngeprüfte Inhalte per print statement und Filehandle an eine Datei weiterzureichen, erscheint mir irgendwie suspekt.
nur suspekt erscheinen ist aber keine grundlage, auf der man arbeiten sollte.
was glaubst du denn, welcher inhalt für eine datei, die so den ganzen
tag auf der platte rumliegt, gefährlich ist? keiner. außer zuviel inhalt vielleicht.
Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen:
Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
lesen:
Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem