der sauberkeit halber:
in der datenbank wird der originaltext gespeichert. zur ausgabe lässt man HTML::Entities
drüberlaufen. und gequotet wird bitte nicht nur das '<', sondern [<>"'&]
warum was minimales empfehlen, wenn es nicht für alle fälle ausreicht?
soll einfach html in anderes vorhandenes html eingefügt werden, mag das ausreichen,
aber sobald ein wert in ein html-attribut eingefügt wird, wird dir ein nicht gequotetes " das
ganze zerschiessen.
also, hier bitte auf nummer sicher gehn. es gibt soviele seiten, die xss anfällig sind,
dass ich mich immer wieder frage, warum entwickler entweder gar nicht dran denken oder
sich so eine minimalistische lösung wie 'muss nur < umgewandelt werden' basteln.

desweiteren: fangt mit utf8 an. gut, das behandeln von utf8 in perl 5.6 ist nicht besonders
schön, aber ansonsten spart ihr euch eine menge ärger.

zum Thema utf8 werd ich mich demnächst auch nochmal äußern. Ich hab hie rnämlich ne riesen Datenbank mit lauter latin1-Spalten die ich nicht nach utf8 konvertiert bekomme. Aber dazu die Tage mehr :)

Um z.b. XSS zu verhindern reicht es voll und ganz aus was ich vorgeschlagen habe.

Ich fahr damit Prima und hab keine Probleme weder Anführungszeichen noch ein kaumfmännisches Und stören in einem Fließtext, was auch keinerlei sicherheitrelevantenProbleme aufwirft, wenn ich alle '<' maskiere, existieren im Text keine HTML Tags die Probleme bereiten könnten.

Wenn ich Text habe, denn ich in einem HTML Code einbauen möchte, dann muss ich natürlich weiterdenken, es kommt halt drauf an wofür ich ihn verwenden will. Wenn der Text z.b. JS Code enthält, der ausgeführt werden soll, dann darf ich gar nicht umwandeln, was es z.b. in Wordpress unmöglich macht inline JS Code einzugeben.

Struppi+2008-01-05 00:22:10--

Um z.b. XSS zu verhindern reicht es voll und ganz aus was ich vorgeschlagen habe.

nicht immer.

Quote

Wenn ich Text habe, denn ich in einem HTML Code einbauen möchte, dann muss ich natürlich weiterdenken, es kommt halt drauf an wofür ich ihn verwenden will.

genau.
<input type="text" name="foo" value="$bar">
warum also nicht gleich zur sicherheit alles notwendige escapen? mein punkt war doch der,
dass es ja nicht schadet, gleich alles zu escapen. programmierer machen fehler, und es kann
schnell passieren, dass ich mal eine stelle vergesse und eben nicht genug escape.
deswegen benutze ich auch templating per default mit html-escape. alle variablen, die ans
template gehen, werden escaped [<>&"']. wenn ich es *nicht* will, muss ich es explizit im
template sagen. seit ich das mache, schreibe ich so sorglos meine templates wie sonst nie.
also, was spricht dagegen?