Cross Site Scripting - Seite 2

Manko10 · 05.10.2008, 22:19

Ja, aber Wikipedia spricht (oder schreibt vielmehr) wenigstens von BBCode und nicht von bbCode. Letzteres sieht nämlich ziemlich merkwürdig aus. BB-Code ist meines Erachtens die beste Variante, aber BBCode soll mir auch recht sein, solange die beiden B großgeschrieben werden.
Du weißt ja: der Mensch nimmt die Wörter anhand ihrer unverwechselbaren Form dar, weshalb Kleinbuchstaben Ober- und Unterlängen haben. Ebenso verhelfen Ligaturen zu einem optimalen Lesefluss. Versalschreibweise hat da einen ganz anderen Effekt. Dadurch, dass alle Buchstaben praktisch die gleiche Form haben, wird die Schrift unleserlich.
Aber auch Versalien haben ihre Vorteile, wenn sie korrekt eingesetzt werden. So ist ein Satz mit korrekter Setzung von Majuskeln und Minuskeln besser lesbar als ein Text, der durchgehend kleingeschrieben ist.
Alles deshalb, weil der Mensch die Formen der Wörter und nicht einzelne Buchstaben wahrnimmt. Und meine Persönlichkeit ist in der Hinsicht besonders empfindlich und ich schwöre auf die Ästhetik des geschriebenen Wortes.

nikosch · 06.10.2008, 07:00

In Zeiten von e-Commerce und iPhone solltest Du Dich langsam daran gewöhnen, daß die Multimediawelt da andere Wege geht. Ehrlich, ist mir wurscht

Manko10 · 06.10.2008, 16:11

Da handelt es sich aber nur um einen Buchstaben. Bei zweien sieht das dann einfach bescheuert aus, zumal der Buchstabe auch noch eine Oberlänge hat.

nikosch · 06.10.2008, 16:44

Schon ok --

Manko10 · 06.10.2008, 18:36

nikosch der Nachgiebige. Ich verneige mich vor einer solchen Selbstlosigkeit.

nikosch · 06.10.2008, 21:19

Was hätte ich denn machen sollen? Einen 2-Mann-edit-war anzetteln?

Manko10 · 06.10.2008, 22:04

Möglicherweise

HStev · 20.10.2008, 14:20

Zitat:

Zitat von nikosch

Hmm, Wikipedia spricht auch von bbCode
BBCode – Wikipedia
Meinst Du doch, oder?

Ich hab jetzt nicht den gesamten Thread gelesen aber BBCode kann auch gefährlich sein wenn der Inhalt nicht geprüft wird.

Als Beispiel das IMG Tag:

Code:

[img]javascript:alert('XSS!')[/img]

Das wird im Artikel gerade so angesprochen...

Code:

<img src="javascript:alert('XSS!')">
<img src="javascript:alert(/XSS!/.source)">

Ne eigene Implementierung von BBCode kann da genauso böse folgen haben.

brian johnson · 27.10.2008, 07:49

Zitat:

Eine Möglichkeit, XSS zu verhindern, ist die Entfernung aller Tags mit strip_tags().

man sollte hier vielleicht noch erwähnen, das strip_tags() wirklich alles entfernt was zwischen < und > steht. also auch sowas:

Code:

<asdf>
<Email Beschreibung>

zudem ist es, sofern man nicht ISO-8851 als kodierung verwendet, wichtig den funktionen htmlspecialchars und htmlentities das charset mitzuteilen, damit diese auch damit umgehen können.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Cross Content Media sucht motivierten PHP-Entwickler in München	crosscontent	Beitragsarchiv	0	23.08.2008 17:41
Permalink überprüfen per PHP - Wordpress site	bentobento	PHP Tipps 2008	1	09.10.2007 08:37
Wer möchte Site aufmöbeln?	dh1sbg	Trash	12	22.03.2007 18:26
site laden, bevor alles angezeigt wird	möchtegernchegga	HTML, Usability und Barrierefreiheit	2	23.11.2005 18:28
StarTrek - ForenRPG (spezielles Forum + Site)		Beitragsarchiv	3	22.08.2005 21:49
Warning: filesize(): SAFE MODE Restriction in effect.	nicobischof	PHP Tipps 2005-2	9	17.08.2005 19:05
Site wird nicht angezeigt :shock:	Chrisber	HTML, Usability und Barrierefreiheit	23	13.07.2005 15:41
Teilbereiche einer Site nachladen		HTML, Usability und Barrierefreiheit	12	23.04.2005 15:49
Herausfinden welche Site im Frame geladen ist		PHP Tipps 2005	11	03.03.2005 14:38
site laden in php file		PHP Tipps 2005	18	20.01.2005 15:40
Site refresh probleme....		PHP Tipps 2004-2	10	28.12.2004 16:17
Sicheres Verfahren, um Site zu schützen		HTML, Usability und Barrierefreiheit	6	25.09.2004 01:57
[Erledigt] site xy speichern und gegf. löschen??!!		PHP Tipps 2004	1	03.08.2004 20:23
[Erledigt] Template Scripting		PHP-Fortgeschrittene	2	04.06.2004 18:34

05.10.2008, 22:19
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.425 PHP-Kenntnisse: Fortgeschritten	Ja, aber Wikipedia spricht (oder schreibt vielmehr) wenigstens von BBCode und nicht von bbCode. Letzteres sieht nämlich ziemlich merkwürdig aus. BB-Code ist meines Erachtens die beste Variante, aber BBCode soll mir auch recht sein, solange die beiden B großgeschrieben werden. Du weißt ja: der Mensch nimmt die Wörter anhand ihrer unverwechselbaren Form dar, weshalb Kleinbuchstaben Ober- und Unterlängen haben. Ebenso verhelfen Ligaturen zu einem optimalen Lesefluss. Versalschreibweise hat da einen ganz anderen Effekt. Dadurch, dass alle Buchstaben praktisch die gleiche Form haben, wird die Schrift unleserlich. Aber auch Versalien haben ihre Vorteile, wenn sie korrekt eingesetzt werden. So ist ein Satz mit korrekter Setzung von Majuskeln und Minuskeln besser lesbar als ein Text, der durchgehend kleingeschrieben ist. Alles deshalb, weil der Mensch die Formen der Wörter und nicht einzelne Buchstaben wahrnimmt. Und meine Persönlichkeit ist in der Hinsicht besonders empfindlich und ich schwöre auf die Ästhetik des geschriebenen Wortes. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

06.10.2008, 07:00
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 34.241 PHP-Kenntnisse: Fortgeschritten	In Zeiten von e-Commerce und iPhone solltest Du Dich langsam daran gewöhnen, daß die Multimediawelt da andere Wege geht. Ehrlich, ist mir wurscht __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

06.10.2008, 16:11
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.425 PHP-Kenntnisse: Fortgeschritten	Da handelt es sich aber nur um einen Buchstaben. Bei zweien sieht das dann einfach bescheuert aus, zumal der Buchstabe auch noch eine Oberlänge hat. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

06.10.2008, 16:44
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 34.241 PHP-Kenntnisse: Fortgeschritten	Schon ok -- __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

06.10.2008, 18:36
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.425 PHP-Kenntnisse: Fortgeschritten	nikosch der Nachgiebige. Ich verneige mich vor einer solchen Selbstlosigkeit. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

06.10.2008, 21:19
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 34.241 PHP-Kenntnisse: Fortgeschritten	Was hätte ich denn machen sollen? Einen 2-Mann-edit-war anzetteln? __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

06.10.2008, 22:04
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.425 PHP-Kenntnisse: Fortgeschritten	Möglicherweise __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”