Tipp: gefährliche Attribute aus Tags entschärfen (XSS verhindern) - Seite 2

tr0y · 11.02.2011, 17:24

Wie oft wolllt ihr eigentlich das Anti-XSS Rad noch neu erfinden ?

Dein Script lässt javascript over included css, javascript over linked css aus, deine methode ist sinnlos.

Wolla · 11.02.2011, 17:35

Probier mal

PHP-Code:

  echo htmlspecialchar($gefaehrliches_zeuchs);

ByStones · 11.02.2011, 17:37

Zitat:

Zitat von Wolla

Probier mal

PHP-Code:

  echo htmlspecialchar($gefaehrliches_zeuchs);

Hast du seinen Beitrag gelesen? Für mich kam das so rüber, dass er HTML zulassen will, aber die gefährlichen Sachen rausfiltern will und da kommt er mit einem fetten htmlspecialchars nicht weit...

Chriz · 11.02.2011, 18:26

Hallo,

ich verschiebe den Beitrag mal in die Skriptbörse.

Wolla · 11.02.2011, 19:37

Ich hab schon vor 10 Jahren mit Zeugs herumexperimentiert mit postings wie

HTML-Code:

<img src="http://example.org/img/tits.jpg">

um dann nach ein paar tagen im img-Ordner per htaccess die jpgs zu verbiegen:

Code:

RewriteEngine On 
RewriteRule ^(.*).jpg$ jpg.php?seite=$1

Die jpg.php hat dann den Aufruf gezählt und danach das an den Browser ausgegeben, was ich wollte.
Insofern halte ich jede HTML-Möglichkeit, die man einem user auf der eigenen Seite einräumt für potentiell gefährlich.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
HTML-String auslesen	bit4fox	PHP Einsteiger	10	08.01.2011 16:33
verwandte Tags finden	Simbo	Datenbanken	10	07.12.2009 13:03
[Erledigt] pcre: Falsches Setzen von Tags verhindern		PHP-Fortgeschrittene	3	26.10.2004 23:11
tags verhindern?		PHP Tipps 2004	1	07.07.2004 17:22

11.02.2011, 17:24
tr0y Erfahrener Benutzer Registriert seit: 26.07.2010 Beiträge: 4.874 PHP-Kenntnisse: Fortgeschritten	Wie oft wolllt ihr eigentlich das Anti-XSS Rad noch neu erfinden ? Dein Script lässt javascript over included css, javascript over linked css aus, deine methode ist sinnlos. __________________ Lasse mir ohne Anwendung von Gewalt Dinge schenken, Amazon weiß darüber bald mehr.


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

11.02.2011, 17:35
Wolla Moderator Registriert seit: 06.06.2008 Beiträge: 4.945 PHP-Kenntnisse: Fortgeschritten	Probier mal PHP-Code: `echo htmlspecialchar($gefaehrliches_zeuchs);` __________________ Warum denkt mein Hund eigentlich immer dann, wenn es an der Tür klingelt, es sei für ihn?

11.02.2011, 18:26
Chriz Moderator Registriert seit: 11.05.2008 Beiträge: 6.269	Hallo, ich verschiebe den Beitrag mal in die Skriptbörse. __________________ "Nuschel ich?" - "Was?"

11.02.2011, 19:37
Wolla Moderator Registriert seit: 06.06.2008 Beiträge: 4.945 PHP-Kenntnisse: Fortgeschritten	Ich hab schon vor 10 Jahren mit Zeugs herumexperimentiert mit postings wie HTML-Code: <img src="http://example.org/img/tits.jpg"> um dann nach ein paar tagen im img-Ordner per htaccess die jpgs zu verbiegen: Code: RewriteEngine On RewriteRule ^(.).jpg$ jpg.php?seite=$1 Die jpg.php hat dann den Aufruf gezählt und danach das an den Browser ausgegeben, was ich wollte. Insofern halte ich jede HTML-Möglichkeit, die man einem user auf der eigenen Seite einräumt für potentiell gefährlich. __________________ Warum denkt mein Hund eigentlich immer dann, wenn es an der Tür klingelt, es sei für ihn?*