Sicherheit in PHP-Skripts

**TobiaZ** · 03.09.2007, 20:39

Wie viel Threads willst du noch öffnen? das ist nummer drei!

Das Thema ist mit sicherheit älter als du Programmierst, also muss nicht alles von neuem platt getratscht werden...

entferne ich alle Tags mit strip_tags()

Wozu? Du veränderst den eigegebenen Inhalt nicht unwesentlich!

**Seggl-hoch-drei** · 03.09.2007, 20:50

Original geschrieben von TobiaZ
Wie viel Threads willst du noch öffnen? das ist nummer drei!

Das Thema ist mit sicherheit älter als du Programmierst, also muss nicht alles von neuem platt getratscht werden...

Wozu? Du veränderst den eigegebenen Inhalt nicht unwesentlich!

ja, aber es ist nicht gerade toll, wenn man auf dem client alerts öffnen kann

**TobiaZ** · 03.09.2007, 20:56

ja, aber es ist nicht gerade toll, wenn man auf dem client alerts öffnen kann

Kannst du das nach htmlspecialchars() noch?

**Seggl-hoch-drei** · 03.09.2007, 22:11

Original geschrieben von TobiaZ
Kannst du das nach htmlspecialchars() noch?

nein. aber was spricht gegen strip-tags?

**PHP-Desaster** · 03.09.2007, 22:15

htmlspecialchars escapt die HTML-Zeichen lediglich, so dass diese vom Browser nicht interpretiert werden. Striptags hingegen entfernt die Tags komplett, wie du dem Beispiel sehr schön entnehmen kannst!

**Seggl-hoch-drei** · 03.09.2007, 22:57

Original geschrieben von PHP-Desaster
htmlspecialchars escapt die HTML-Zeichen lediglich, so dass diese vom Browser nicht interpretiert werden. Striptags hingegen entfernt die Tags komplett, wie du dem Beispiel sehr schön entnehmen kannst!

das will ich ja. wenn einr meint, er müsste QT posten, soll er den in [QT][/QT] schreiben (die funktion mach ich demnächst.)

**ArSeN** · 03.09.2007, 23:39

OffTopic:
Wat issn QT?

**Gavyn** · 03.09.2007, 23:49

OffTopic:
Ne Bibliothek von Trolltech? *blickt ebenso ratlos drein*

**Seggl-hoch-drei** · 04.09.2007, 00:01

QT = Quelltext

**ministry** · 04.09.2007, 01:14

Bei der Ausgabe zu filtern (htmlspecialchars) ist sinnvoller. Lass doch einen <script>alert('huhu');</script> posten. Geht hier im Forum ja auch.

**Seggl-hoch-drei** · 04.09.2007, 11:35

kann schon sein, dass das sinnvoller ist. aber ich finde es einfach besser, wenn da nicht mittendrin HTML ist

**TobiaZ** · 04.09.2007, 11:51

Die armen Zockerkinder, die sonst was in Ihrem Namen drin stehen haben...

BTW: Ich finde hier im Forum sollte man auch die wörter "ist", "ein", etc strippen. Sind ohehin nichtssagend.

**ghostgambler** · 04.09.2007, 12:41

Man ey, lösch doch jemand den User, bevor meine Kopfschmerzen noch schlimmer werden...

**jahlives** · 04.09.2007, 12:52

Man ey, lösch doch jemand den User, bevor meine Kopfschmerzen noch schlimmer werden...

OffTopic:

Dann solltest du am Vorabend eben weniger Saufen

**ganzSchnellWegMuss**

Gruss

tobi

Sicherheit in PHP-Skripts