litter: Wozu denn die HTML-Entitäten? Siehst Du ohne diese ein höheres XSS-Risiko?
Ja sicher sonst hätte ich das ja nicht mit eingefügt.
Man muss generell seine GET Parameter sehr sorgfältig prüfen, man kann das sogar noch weiter ausbauen. Aber das reicht schon aus um XSS Attacken darüber zumindest zu unterbinden. Es ist einzusätzlicher Schutz der nicht schaden kann.
Aus dem Dynamo Lande kommen wir. Trinken immer reichlich kühles Bier. Und dann sind wir alle voll, die Stimmung ist so toll. Aus dem Dynamo Lande kommen wir.
[URL]http://www.lit-web.de[/URL]
Ja sicher sonst hätte ich das ja nicht mit eingefügt.
Kannst Du mal ein Beispiel geben? Aus meiner Sicht wird hier ein x-beliebiger Wert (string) gegen eine Whitelist abgeglichen. Alles was nicht in der Liste steht, z. B. Schadcode, wird nicht beachtet bzw. gegen einen Defaultwert ersetzt. HTML-Entitäten machen da eigentlich keinen Sinn?!
[B]Es ist schon alles gesagt. Nur noch nicht von allen.[/B]
Stimmt, vor allem nicht in Zusammenhang mit Dateinamen. Bei so etwas ist immer der Kontext zu beachten! Du benutzt ja z.B. auch nicht mysql_real_escape_string für die Ausgabe.
Kommentar