| | | | |
15.03.2010, 23:04
| ||
| Neuer Benutzer Registriert seit: 25.10.2009
Beiträge: 23
PHP-Kenntnisse: Fortgeschritten  |  Entschuldigung, in die falsche Richtung gedacht... Im Prinzip existiert hier nichtmal ein Problem. Htmlentities lässt sich auf jeden String anwenden. Das funktioniert nicht nur auf POST und GET Daten. Denn das hier ist ja kein Problem: Zitat:
| |
|
 | |
| PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten | |
|
15.03.2010, 23:11
| ||
| Gast
Beiträge: n/a
| Zitat:
| |
|
15.03.2010, 23:20
| |
| moderatives Dielektrikum  Registriert seit: 21.05.2008
Beiträge: 35.990
PHP-Kenntnisse: Fortgeschritten  | Wenn Du es bei jeder Ausgabe benutzt, dann nicht.
__________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. -- |
|
|
17.03.2010, 21:21
| ||
| Neuer Benutzer Registriert seit: 17.03.2010
Beiträge: 3
PHP-Kenntnisse: Anfänger | Zitat:
der beträchtlichen anzahl deiner forenbeiträge nach zu urteilen, möchte man fast meinen, du hättest schon mal eine seite mit php geschrieben? hast du schon mal? - dann gib mal n link *g*... ne, im erst mal, wie kann man so einen schwachsinn verbreiten? leute, lest doch einfach mal anständige blogs, wie z.b. den von erich kachel: Cross Site Scripting trotz htmlentities() [UPDATE] | PHP Application and Website Defense ... um nur einen zu nennen. oder magste behaupten, dein specialchars bringt da mehr? | |
|
|
|
17.03.2010, 21:31
| |
| moderatives Dielektrikum Registriert seit: 21.05.2008
Beiträge: 35.990
PHP-Kenntnisse: Fortgeschritten | Und der beträchtlich niedrigen Anzahl deiner Forenbeiträge nach zu urteilen, kann man vermuten, dass Du Dich sicher noch nicht sehr weit in dieses Forum eingelesen hast. Wenn ja, hättest Du festgestellt, dass viele bereits mit htmlspecialchars und mysql_real_escpae_string weit überfordert sind oder nach dem Grundsatz „mach ich irgendwann, wenn ich sowei bin“ verfahren. Damit muss es wohl ein Anliegen sein, überhaupt erstmal Escaping und Validierung in die Köfe zu bekommen, bevor hier so spezielle Angriffsvektoren wie UTF-7 in Attributen diskutiert werden. Da hat {Anfänger} nämlich schon lange abgeschaltet. Viele Codes sind hier so seh Basic, dass man schon mit einem Hinweis aus fehlende Validierung den kompletten Thread aus dem Gleichgewicht bringt. Ergänzend sei gesagt, dass die Problematik mit UTF-7 durchaus schon in diesem Forum besprochen wurde.*) Nur was hilfts - Soll jetzt jeder Thread ausgewertet werden um 10 Disclaimer, die noch auf weitere Angriffsvektoren hinweisen? *) Übrigens in den Kommentaren Deines verlinkten Blogartikels belegt, als Backlink. Und Cortex, der dort mit dem Autor diskutiert, ist hier auch User.
__________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. -- Geändert von nikosch (17.03.2010 um 21:41 Uhr). |
|
|
|
17.03.2010, 21:35
| |
| Neuer Benutzer Registriert seit: 17.03.2010
Beiträge: 3
PHP-Kenntnisse: Anfänger | sehr schön! ins anfängerforum hast du den beitrag aber verschoben  |
|
|
|
17.03.2010, 21:45
| |
| moderatives Dielektrikum Registriert seit: 21.05.2008
Beiträge: 35.990
PHP-Kenntnisse: Fortgeschritten | Es ging hier auch nicht um Hacking, sondern um die Frage, ob ein specialchars-präparierter String als Ausgabe zwischen Tags einen Entity-String beim DB-Eintrag erzeugt. Das war die eigentliche Frage (Bitte genau lesen). Die Thematik „Validierung“ wurde hier gar nicht behandelt.
__________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. -- |
|
|
|
17.03.2010, 21:53
| |
| Neuer Benutzer Registriert seit: 17.03.2010
Beiträge: 3
PHP-Kenntnisse: Anfänger | und selbst diesbezüglich war deine antwort quatsch. specialchars hat dabei den nachteil, dass nicht alle sonderzeichen umgewandelt werden, was der benutzer aber so haben will (wenn man genau liest). muss sich da auch um ein anderes problem gehandelt haben, codierung oder so. |
|
|
|
17.03.2010, 22:08
| ||
| moderatives Dielektrikum Registriert seit: 21.05.2008
Beiträge: 35.990
PHP-Kenntnisse: Fortgeschritten | Zitat:
__________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. -- | |
|
|
| Themen-Optionen | |
| Thema bewerten | |
|
|
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| [Erledigt] sql - Variable ?? | Exception | PHP Tipps 2010 | 9 | 20.02.2010 04:03 |
| [Erledigt] Variable aus textarea übergeben | ellielmo | PHP Tipps 2010 | 6 | 21.01.2010 23:20 |
| [Erledigt] variable setzen wenn nachfolgende variable nicht leer | taurus | PHP Tipps 2009 | 4 | 14.05.2009 22:24 |
| Problem Undefined variable: | banbanban | PHP Tipps 2009 | 5 | 04.03.2009 17:55 |
| [Erledigt] session register - variable nicht uebergeben? | peroja | PHP Tipps 2009 | 4 | 06.01.2009 15:24 |
| Variable per Session übergeben? Spricht etwas dagegen? | Lapje | PHP Tipps 2008 | 6 | 20.10.2008 21:49 |
| Undefined variable Undefined property: block | xxJJxx | PHP Tipps 2008 | 16 | 05.08.2008 15:30 |
| Textarea Feld dynamisch vergrößern und verkleinern? | php_frage | HTML, Usability und Barrierefreiheit | 5 | 25.04.2006 08:42 |
| problem mit variable | snatch-ic | PHP Tipps 2007 | 5 | 13.12.2005 13:18 |
| Variable durch 2. Variable bestimmen | Quagga | PHP Tipps 2005-2 | 11 | 26.10.2005 17:34 |
| Variable in einer Variable | Beatbox | PHP Tipps 2005 | 7 | 15.01.2005 15:55 |
| Warum wird Variable nicht übergeben??? | Anuschka | PHP Tipps 2005 | 2 | 06.01.2005 13:22 |
| Textarea ... | Tschuu | HTML, Usability und Barrierefreiheit | 2 | 03.01.2005 14:13 |
| Variable in Textarea eintragen | Beatbox | PHP Tipps 2004-2 | 1 | 28.11.2004 19:36 |
| Besucher kamen über folgende Suchanfragen bei Google auf diese Seite |
| xss seite, sseq lib per hack testen |
