danysahne333

Angenommen ich habe ein Formular. Alles was ich dort eingebe, wird nach dem Klick auf den Submitbutton (ob gewollt oder ungewollt spilet ja keine Rolle) auf der Webseite ausgegeben.

Also auch wenn ich <hr> schreibe, entsteht eine Linie. Ich weiss das es gefährlich ist, aber wie gefährlich ist sowas wirklich?
Könnte man dadurch auch php-code ausführen?

gruss

dany

Mister Ad

zwerg

Ich weiß aus eigener Erfahrung das kein PHP-Code aus einer MySQL Datenbank wiedergegeben wird...also,er wird halt abgebildet wie er eingetragen wurde!

Zumindest war das bei mir immer so...verbessert mich wenn ich etwas falsches sage :wink:

Marian

Ka. Aber mit trim kann man glaube ich sonderzeichen wegmachen.
Also lehrzeichen und sachen wie \n kanns aufjedenfall wegmacehn.
Deshalb denke ich das du damit auch die <> wegkriegst.

MFG Marian

danysahne333

ja das ist mir schon klar wie ich die "bösen" zeichen entfernen kann. nur möchte ich mal wissen was man mit so einem praktisch ungeschützem formular anstellen könnte?

Marian

Nichts. Habe ich grade ausprobiert.
PHP wird ignoriert. Und js und so auch. Keine scriptsprachen werden genommen.
das heist es geht nur HTML.
MFG Marian

Zergling-new

Es wird erst gefährlich, wenn du solch einen Code direkt in eine Datei
schreibst, die mit *.php endet.
Also mittels fputs(), file_put_contents() und Konsorten.
Darum niemals PHP-Dateien "generieren", schon garnicht mit ungeprüften
User-Eingaben.

du kannst ja auch
machen und es passiert nichts. Ist ja nur ein String und genauso wird mit
User-Eingaben umgegangen. Ausnahme besteht zB bei SQL. Da gibt es
SQL-Injections.
http://de.wikipedia.org/wiki/SQL_Injection


Übrigens ist hierfür auch BBCode gedacht. Damit eben trotzdem noch
Formatierungen möglich sind, aber diese (möglicherweise gefährlichen,
blödsinnigen, nervigen) vom User eingegeben HTML-Formatierungsbefehle erst
durch saubere ersetzt werden (die von ihrer Formatierungsmöglichkeit
garkeine Gefahr darstellen (Ausnahmen bleiben Links)). Der BBCode wird
ja später dann auch wieder zurückgewandelt in gültigen HTML-Code.

robo47

trim entfernt lerstellen zeilenumbrüche und ähnliches am ANFANG und am Ende des scripts, aber sonst nichts!

im endeffekt ist so ein formular ungefährlich solange es nur dem user selbst seine eigenen eingegebenen daten ausgibt, sobald die daten irgendwo gespeichert und nicht sauchgemäß ausgegeben oder weiterverarbeitet werden, kann es zu einem problem werden, wenn javascript, iframes oder sonstiges eingebunden werden.

mfg
robo47

__________________
robo47.net - Blog, Codeschnipsel und mehr
| Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework

danysahne333

aber könnte man denn in so ein formular schädlichen javasriptcode eingeben?

Waq

Vor XSS (Cross-Site-Scripting) hätte ich bei sowas schon Angst, da werden den Nutzern ganz schnell Session-Cookies etc. geklaut.

__________________
mod = master of disaster

xabbuh

Gehst du bei der Frage immer noch davon aus, dass die Eingaben nur dem Benutzer angezeigt werden, der sie auch getätigt hat oder sollen die Daten zusätzlich auch gespeichert werden?