Supportnet / Forum / Skripte(PHP,ASP,Perl...)
Vorschaufenster vor Angriffen sichern
Frage
Hallo,
wenn ich mit Javascript ein Vorschaufenster wie z.b. hier im Forum entwerfe und per "document.formular.name.value" die eingegebenen Daten wiedergebe, ist das doch bestimmt mit einem hohen Angriffsrisiko verbunden.
Gibt es eine Möglichkeit den auszugebenen Text zu entschärfen? - wie z.B. "htmlspecialchars(variable)" das für in php definierten Variablen macht
Vielen Dank im voraus für Eure Tipps
Gruss Mel
Antwort 1 von rfb
Zitat:
ist das doch bestimmt mit einem hohen Angriffsrisiko verbunden.
nein, das spielt sich doch auf dem Rechner des Seitenbesuchers ab - und sich selbst wird er wohl nicht angreifen.ist das doch bestimmt mit einem hohen Angriffsrisiko verbunden.
Antwort 2 von disco
hallo mel
du verwechselst immer noch server- und client basierte ausführung. JS und HTML werden auf dem Rechner der users ausgeführt. PHP (u.a.) auf dem server.
´gefährlich´ sind einträge, die auf dem server oder später auf dem client interpretierbar sind.
so dass bspw. php-code eingeschläusst und dann unkontrolliert auf dem server ausgeführt wird.
Oder wenn jemand es schafft einen Text in dein Formular (bspw. gästebuch) einzufügen, der beim anzeigen vom browser interpretiert wird (JS und HTML).
g,
disco
du verwechselst immer noch server- und client basierte ausführung. JS und HTML werden auf dem Rechner der users ausgeführt. PHP (u.a.) auf dem server.
´gefährlich´ sind einträge, die auf dem server oder später auf dem client interpretierbar sind.
so dass bspw. php-code eingeschläusst und dann unkontrolliert auf dem server ausgeführt wird.
Oder wenn jemand es schafft einen Text in dein Formular (bspw. gästebuch) einzufügen, der beim anzeigen vom browser interpretiert wird (JS und HTML).
g,
disco
Antwort 3 von Mel
Ah ja, stimmt ja.
Man oh man, was ihr doch für eine Geduld mit mir habt.... Tausend Dank nochmal für die erneute Klarstellung, was server- und was clientseitig ist.
Ich werds mir jetzt an die Wand pinnen und hoffen, daß es hilft :-)
LG
Mel
Man oh man, was ihr doch für eine Geduld mit mir habt.... Tausend Dank nochmal für die erneute Klarstellung, was server- und was clientseitig ist.
Ich werds mir jetzt an die Wand pinnen und hoffen, daß es hilft :-)
LG
Mel