REMOTE_ADDR, HTTP_USER_AGENT ... manipulieren ...

**Thomas** · 25.12.2002, 06:27

naja,
die genannten Vars liefert ja i.d.R. der Browser und können
daher "leicht" durch den User manipuliert werden.
Einzelne Browser bieten bsp.-weise die Option den HTTP_USER_AGENT
frei einstellen zu können, security-tools verschleiern die ip, usw...

Und so z.b. javascript ausführen könnte.

verstehe ich nicht! Nur weil die Umgebungsvars andere Werte haben
lauft doch kein JS, bestenfalls wird eine 'falsche' Schleife durchlaufen.
Und überhaupt JS läuft beim Client, also hier beim "Angreifer"!

hab mich derweil mit htmlspecialchars, dafür geschützt,

kannst Du mir das mal bitte erklären...

**CannabisCow** · 25.12.2002, 10:46

das mit dem javascript, war jetzt falsch dargestellt, ich meinte hiermit eher cross site scripting.

schutz: $_SERVER['HTTP_USER_AGENT'] = htmlspecialchars($_SERVER['HTTP_USER_AGENT']);

so meinte ich das.

**TobiaZ** · 25.12.2002, 12:29

ja, wenn man Usereingaben durch specialchars durlaufen lässt, sind die entschärft.

Ich wüsste aber nicht, was eine Variable(!) für unfug anrichten könnte. Ich glaube das betrifft in der Regel eher die Funktionen.

**CannabisCow** · 25.12.2002, 13:04

Hab mich mal ein bissle umgeschaut ...

bei vb z.b. lassen sie die REQUEST_URI und QUERY_STRING, durch ne function laufen, diese ändert z.b. javascript in java script, oder > in >

bei woltlab lassen sie den user_agent ect. durch htmlspecialchars laufen.

sowas meinte ich. ich wollte halt wissen, wo dies überrral notwendig wäre ?

**TobiaZ** · 25.12.2002, 13:17

specialchars ist schon okay. das formt dir alles in html-fom um.

Du solltest das machen, wenn du die Daten auch verwendest. (logisch). Da sonst dein Code ,je nach dem, ganz schnell ein anderer sein kann.

REMOTE_ADDR, HTTP_USER_AGENT ... manipulieren ...