[quote=coax,13.12.2005, 20:21]OWASP - Open Web Application Security Project[/quote]
darin steht glaube ich, dass man gar kein perl verwenden soll! :)

[quote=esskar,13.12.2005, 20:38][quote=coax,13.12.2005, 20:21]<a href="http://www.owasp/" target="_blank">OWASP - Open Web Application Security Project</a>[/quote]
darin steht glaube ich, dass man gar kein perl verwenden soll! :)[/quote]
Wenn dem so ist, dann hast du aber den falschen Smiley gewaehlt ;) ( und den Autoren gehoert auf die Finger gehauen ).

Ich habe eben mal meinen PDF-Reader bemueht, der hat nur 6 Vorkommen von >>Perl<< gefunden, darunter auch >>Perl CGI that do not<<, der gesamte Satz lieszt sich aber >>Althought most users of this guide will be using an application framework with built in session management capabilities, others will use a language such as Perl CGI that do not.<< Was Passenderes konnte ich allein durch die Suche nicht finden.

@esskar und coax
Bitte nicht streiten und dabei den Anfang des Threads vegessen.
Ich bin wirklich in Not und benötige daher brauchbare Vorschläge.\n\n

<!--EDIT|Bauhaus|1134507843-->

Erlaube kein HTML bzw. ersetze HTML-Tags wie Du schon geschrieben hast durch die Entities. Da kann einer so viel Links auf schaedlichen Code senden wie er will, es wird nur der String des Links geschrieben und nicht als Hyperlink...

es bleibt jedem programmierer selbst überlassen, genau zu prüfen, was an wen
übergeben wird, da kann dir letztendlich auch niemand helfen.
du bist derjenige, der weiß - wissen sollte! - wo du user-input hast und in
welcher form der an wen weitergegeben wird.
nicht blind alles escapen. du schriebst zum beispiel, dass du html-entities
schon beim speichern escapen willst? warum das denn? wenn ich < und >
eingebe, in ein forum z.B., kann das doch auch als < und > gespeichert werden.
einzig und allein bei der ausgabe als HTML muss es escaped werden.

[quote=Bauhaus,13.12.2005, 22:03]Ich bin wirklich in Not und benötige daher brauchbare Vorschläge.[/quote]
du musst konkreter werden, wo du was verbessern willst.

[quote=pq,14.12.2005, 13:18]nicht blind alles escapen. du schriebst zum beispiel, dass du html-entities
schon beim speichern escapen willst? warum das denn? wenn ich < und >
eingebe, in ein forum z.B., kann das doch auch als < und > gespeichert werden.[/quote]
Da eben, bin ich mir absolut nicht sicher.
Ungeprüfte Inhalte per print statement und Filehandle an eine Datei weiterzureichen, erscheint mir irgendwie suspekt.

Edit:
Da ist dann auch noch diese, im Grunde genommen, gute Idee mit dem in [ ... ] gesetzten BB-Code.
Jede eckige Klammer wird beim Output in eine spitze Klammer umgewandelt.
OK - das ist fein; aber warum dann erst mit [ ... ] speichern?\n\n

<!--EDIT|Bauhaus|1134652334-->

[quote=esskar,14.12.2005, 13:21][quote=Bauhaus,13.12.2005, 22:03]Ich bin wirklich in Not und benötige daher brauchbare Vorschläge.[/quote]
du musst konkreter werden, wo du was verbessern willst.[/quote]
Da ist z.B. der Fall 'textarea'
Wenn dort ein Text eingetragen wird (und wenn ich dort HTML Formatierung zulasse), dann muss ich dort auch Sonderzeichen und 'Sonderwörter' (wie z.B. script, system usw.) zulassen.
Also könnte doch irgendein freundlicher Zeitgenosse, dort auch ausführbaren Code einbinden - sag ich mal.

[quote=Bauhaus,15.12.2005, 14:02]Da ist z.B. der Fall 'textarea'
Wenn dort ein Text eingetragen wird (und wenn ich dort HTML Formatierung zulasse), dann muss ich dort auch Sonderzeichen  und 'Sonderwörter' (wie z.B. script, system usw.) zulassen.
Also könnte doch irgendein freundlicher Zeitgenosse, dort auch ausführbaren Code einbinden - sag ich mal.[/quote]
okay...
er schreibt jetzt z.b. folgenden Text in die textarea



dann drückt er auf Abschicken... was passiert den jetzt mit dem text?

[quote=Bauhaus,15.12.2005, 13:54]Da eben, bin ich mir absolut nicht sicher.
Ungeprüfte Inhalte per print statement und Filehandle an eine Datei weiterzureichen, erscheint mir irgendwie suspekt.[/quote]
totaller schwachsinn!