[quote=Bauhaus,15.12.2005, 13:54][quote=pq,14.12.2005, 13:18]nicht blind alles escapen. du schriebst zum beispiel, dass du html-entities
schon beim speichern escapen willst? warum das denn? wenn ich < und >
eingebe, in ein forum z.B., kann das doch auch als < und > gespeichert werden.[/quote]
Da eben, bin ich mir absolut nicht sicher.
[/quote]
vielleicht solltest du meine beiträge ganz lesen.
[quote=pq,14.12.2005, 13:18]es bleibt jedem programmierer selbst überlassen, genau zu prüfen, was an wen
übergeben wird, da kann dir letztendlich auch niemand helfen.
du bist derjenige, der weiß - wissen sollte! - wo du user-input hast und in
welcher form der an wen weitergegeben wird.
nicht blind alles escapen. du schriebst zum beispiel, dass du html-entities
schon beim speichern escapen willst? warum das denn? wenn ich < und >
eingebe, in ein forum z.B., kann das doch auch als < und > gespeichert werden.
einzig und allein bei der ausgabe als HTML muss es escaped werden.[/quote]
QuoteUngeprüfte Inhalte per print statement und Filehandle an eine Datei weiterzureichen, erscheint mir irgendwie suspekt.
nur suspekt erscheinen ist aber keine grundlage, auf der man arbeiten sollte.
was glaubst du denn, welcher inhalt für eine datei, die so den ganzen
tag auf der platte rumliegt, gefährlich ist? keiner. außer zuviel inhalt vielleicht.