[Erledigt] Sinn von strip_tags

Forumsgast

Dabei seit: 05.08.2008

Beiträge: 2709
#1

[Erledigt] Sinn von strip_tags

05.05.2010, 12:07

Hallo

Ich lese neulich die Empfehlung zur XSS - Abwehr htmlentities zusammen mit strip_tags anzuwenden. Also so

PHP-Code:

$output = htmlentities(strip_tags($ausdruck));

Allerdings macht strip_tags allerlei ungewolltes mit meinem String.

Z. B. aus

Code:

"a<c"

wird

Code:

a

Das ist natürlich nicht so brauchbar, weswegen ich strip_tags gleich wieder in die Mottenkiste schmeissen will.

Frage:
htmlentities sind meines Wissens auch ausreichend zur XSS-Abwehr. Oder etwa nicht?
Stichworte: -
Forumsgast

Dabei seit: 19.03.2009

Beiträge: 544
#2

05.05.2010, 12:24

Mir ist nichts gegenteiliges bekannt.
Kommentar
Forumsgast

Dabei seit: 18.06.2008

Beiträge: 10040
#3

05.05.2010, 12:26

strip_tags entfernt halt HTML und PHP Tags. Normalerweise brauchst du diese nicht zu entfernen da durch htmlentities/htmlspecialchars entsprechend diese nicht mehr gefährlich für XSS sind.
Kommentar
Forumsgast

Dabei seit: 15.04.2010

Beiträge: 819
#4

05.05.2010, 13:14

strip_tags
ist auch sehr nützlich beim erstellen von nicht HTML-Dokumenten, wie zum Beispiel PDF's bei denen sonst die HTML-Entities als String angezeigt werden
Kommentar
Forumsgast

Dabei seit: 05.08.2008

Beiträge: 2709
#5

05.05.2010, 17:12

Danke für Eure Kommentare. Dann liege ich wohl richtig.
Kommentar

Ankündigung