Thread CGI Sicherheit: Vermeidung gefährlicher Inhalte
(165 answers)
Opened by Gast at 2005-12-12 17:10
[quote=Bauhaus,15.12.2005, 13:54][quote=pq,14.12.2005, 13:18]nicht blind alles escapen. du schriebst zum beispiel, dass du html-entities
schon beim speichern escapen willst? warum das denn? wenn ich < und > eingebe, in ein forum z.B., kann das doch auch als < und > gespeichert werden.[/quote] Da eben, bin ich mir absolut nicht sicher. [/quote] vielleicht solltest du meine beiträge ganz lesen. [quote=pq,14.12.2005, 13:18]es bleibt jedem programmierer selbst überlassen, genau zu prüfen, was an wen übergeben wird, da kann dir letztendlich auch niemand helfen. du bist derjenige, der weiß - wissen sollte! - wo du user-input hast und in welcher form der an wen weitergegeben wird. nicht blind alles escapen. du schriebst zum beispiel, dass du html-entities schon beim speichern escapen willst? warum das denn? wenn ich < und > eingebe, in ein forum z.B., kann das doch auch als < und > gespeichert werden. einzig und allein bei der ausgabe als HTML muss es escaped werden.[/quote] Quote nur suspekt erscheinen ist aber keine grundlage, auf der man arbeiten sollte. was glaubst du denn, welcher inhalt für eine datei, die so den ganzen tag auf der platte rumliegt, gefährlich ist? keiner. außer zuviel inhalt vielleicht. Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem |