Oi,
ich glaube, dass ich eher strip_tags verwenden würde, da es mir ja nichts bringt die html-codes dann zu sehen.
3: htmlspecialchars würde ich nun mit strip_tags ersetzen.
4: -> siehe nächsten punkt
i'm sry, meinte natürlich xss..
Also:
die mailfunktion sieht ja wie folgt aus: mail($empfaenger, $betreff, $nachricht, $header);
Alle in den preg genannten $vars werden im bereich $nachricht verwendet. Somit koennte man bei allen bb: cc: content-type und from: angeben und da liegt doch dann auch die gefahr von xxs, dass wenn man ne html-mail verschickt, weil man es vorher geändert hat, kann man auch script etc. angeben...
Das würde ich dann alles mit strip_tags entfernen und die weiteren empfänger etc. pp. auch rausnehmen...
habe ich einen denkfehler oder?
ich glaube, dass ich eher strip_tags verwenden würde, da es mir ja nichts bringt die html-codes dann zu sehen.
3: htmlspecialchars würde ich nun mit strip_tags ersetzen.
4: -> siehe nächsten punkt
i'm sry, meinte natürlich xss..
Also:
die mailfunktion sieht ja wie folgt aus: mail($empfaenger, $betreff, $nachricht, $header);
Alle in den preg genannten $vars werden im bereich $nachricht verwendet. Somit koennte man bei allen bb: cc: content-type und from: angeben und da liegt doch dann auch die gefahr von xxs, dass wenn man ne html-mail verschickt, weil man es vorher geändert hat, kann man auch script etc. angeben...
Das würde ich dann alles mit strip_tags entfernen und die weiteren empfänger etc. pp. auch rausnehmen...
habe ich einen denkfehler oder?
Kommentar