Ich weiß, nur wenn ich htmlentities nehme, ist der Text beispielsweise nicht mehr fett.
Und genau da liegt mein Problem - leider.
Ausgaben und Escapen?
- Themenstarter xkevin96x
- Beginndatum
Und genau da liegt mein Problem - leider.
Da mache nur das real_escape_string und fertig ist ausreichend für die injections.
Dies schützt allerdings nicht für vor XSS.
Hier ist dann wirklich die Frage was ist einen wichtiger Seiten Schönheit oder Sicherheit.
Ich würde an deiner Stelle den Nutzer erlauben BB-Code zu nutzen.
Der BB-Code wird weder von htmlentities noch real_escape_string berührt.
Damit würde die Seite schön sein und sicher.
Dies schützt allerdings nicht für vor XSS.
Hier ist dann wirklich die Frage was ist einen wichtiger Seiten Schönheit oder Sicherheit.
Ich würde an deiner Stelle den Nutzer erlauben BB-Code zu nutzen.
Der BB-Code wird weder von htmlentities noch real_escape_string berührt.
Damit würde die Seite schön sein und sicher.
Ist nur beispielsweise das Problem, wenn sie nur "<b>" eingeben, es aber nicht mit "</b>" schließen.
Dann wäre die ganze Seite fett. Oder Sie könnten die ganze Seite in einen Link umwandeln.
Bitte bau dir keine Funktion selber!
Es gibt immer irgendwelche Grenzfälle, die dann doch noch XSS-Attacken zulassen! Du findest auf der OWASP-Seite zu XSS viele Beispiele für mögliche Angriffsvektoren.
Die einzig richtige Lösung ist: HTMLPurifier, eine PHP-Bibliothek, welche alle nicht erlaubten Tags und Attribute rausfiltert.
Es gibt immer irgendwelche Grenzfälle, die dann doch noch XSS-Attacken zulassen! Du findest auf der OWASP-Seite zu XSS viele Beispiele für mögliche Angriffsvektoren.
Die einzig richtige Lösung ist: HTMLPurifier, eine PHP-Bibliothek, welche alle nicht erlaubten Tags und Attribute rausfiltert.
Neue Beiträge
-
DataGrid Virtualisierung - Komischer Fehler beim scrollen- Letzte: AnnaBauer21
-
-
