Ankündigung

Einklappen
Keine Ankündigung bisher.

Eure Tipps zur Sicherheit

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • #16
    litter:
    $str_Page = htmtentities($_GET['page']);
    Wozu denn die HTML-Entitäten? Siehst Du ohne diese ein höheres XSS-Risiko?
    [B]Es ist schon alles gesagt. Nur noch nicht von allen.[/B]

    Kommentar


    • #17
      Zitat von drsoong Beitrag anzeigen
      litter: Wozu denn die HTML-Entitäten? Siehst Du ohne diese ein höheres XSS-Risiko?
      Ja sicher sonst hätte ich das ja nicht mit eingefügt.

      Man muss generell seine GET Parameter sehr sorgfältig prüfen, man kann das sogar noch weiter ausbauen. Aber das reicht schon aus um XSS Attacken darüber zumindest zu unterbinden. Es ist einzusätzlicher Schutz der nicht schaden kann.
      Aus dem Dynamo Lande kommen wir. Trinken immer reichlich kühles Bier. Und dann sind wir alle voll, die Stimmung ist so toll. Aus dem Dynamo Lande kommen wir.
      [URL]http://www.lit-web.de[/URL]

      Kommentar


      • #18
        Ja sicher sonst hätte ich das ja nicht mit eingefügt.
        Kannst Du mal ein Beispiel geben? Aus meiner Sicht wird hier ein x-beliebiger Wert (string) gegen eine Whitelist abgeglichen. Alles was nicht in der Liste steht, z. B. Schadcode, wird nicht beachtet bzw. gegen einen Defaultwert ersetzt. HTML-Entitäten machen da eigentlich keinen Sinn?!
        [B]Es ist schon alles gesagt. Nur noch nicht von allen.[/B]

        Kommentar


        • #19
          Stimmt, vor allem nicht in Zusammenhang mit Dateinamen. Bei so etwas ist immer der Kontext zu beachten! Du benutzt ja z.B. auch nicht mysql_real_escape_string für die Ausgabe.
          [IMG]https://g.twimg.com/twitter-bird-16x16.png[/IMG][URL="https://twitter.com/fschmengler"]@fschmengler[/URL] - [IMG]https://i.stack.imgur.com/qh235.png[/IMG][URL="https://stackoverflow.com/users/664108/fschmengler"]@fschmengler[/URL] - [IMG]http://i.imgur.com/ZEqflLv.png[/IMG] [URL="https://github.com/schmengler/"]@schmengler[/URL]
          [URL="http://www.schmengler-se.de/"]PHP Blog[/URL] - [URL="http://www.schmengler-se.de/magento-entwicklung/"]Magento Entwicklung[/URL] - [URL="http://www.css3d.net/"]CSS Ribbon Generator[/URL]

          Kommentar


          • #20
            Stimmt, vor allem nicht in Zusammenhang mit Dateinamen
            Was stimmt nicht?
            [B]Es ist schon alles gesagt. Nur noch nicht von allen.[/B]

            Kommentar


            • #21
              Da steht ein Komma. Ich habe dir zugestimmt
              [IMG]https://g.twimg.com/twitter-bird-16x16.png[/IMG][URL="https://twitter.com/fschmengler"]@fschmengler[/URL] - [IMG]https://i.stack.imgur.com/qh235.png[/IMG][URL="https://stackoverflow.com/users/664108/fschmengler"]@fschmengler[/URL] - [IMG]http://i.imgur.com/ZEqflLv.png[/IMG] [URL="https://github.com/schmengler/"]@schmengler[/URL]
              [URL="http://www.schmengler-se.de/"]PHP Blog[/URL] - [URL="http://www.schmengler-se.de/magento-entwicklung/"]Magento Entwicklung[/URL] - [URL="http://www.css3d.net/"]CSS Ribbon Generator[/URL]

              Kommentar


              • #22
                Dieses kleine, freche Komma. Wie konnte ich es nur übersehen..
                [B]Es ist schon alles gesagt. Nur noch nicht von allen.[/B]

                Kommentar

                Lädt...
                X