Hallo,

moinsen

habe da ein Problem mit Cross-Site-Skripting!

hatte ich bis gestern auch ;-)

Ich binde alle möglichen Parameter und auch die Überprüfung der Parameter als inlude("datei.inc") an erster Stelle der php-Datei ein.

In der Inc-Datei stehen dann folgende Abfragen:

$search = strip_tags($search);
$search = htmlentities($search);

Diese Anweisungen habe ich dem Forum hier entnommen.

Und trotzdem führt er folgendes Skript trotzdem aus:
http://www.av-test.org/rc2/index.php3?search="><script>alert("Hello");</script>

nein, bei mir (IE5.5, Opera 6.01, Moz 1.0) führt er _nix_ aus! ich habe in allen testläufen jS _aktiviert_ gehabt.

Kann mir jemand einen Tipp geben?!?

bitte präzisieren, was nicht geht, bei mir gab es keine probs.

Fabian

Moin!

Ich binde alle möglichen Parameter und auch die Überprüfung der Parameter als inlude("datei.inc") an erster Stelle der php-Datei ein.

In der Inc-Datei stehen dann folgende Abfragen:

$search = strip_tags($search);
$search = htmlentities($search);

Diese Anweisungen habe ich dem Forum hier entnommen.

Und trotzdem führt er folgendes Skript trotzdem aus:
http://www.av-test.org/rc2/index.php3?search="><script>alert("Hello");</script>

Kann mir jemand einen Tipp geben?!?

Frage: Warum steht der Übergebene Parameter ganz am Anfang des HTML-Quelltextes, und die eigentliche Seite beginnt erst danach?

Das kriege ich vom Server übermittelt:
Suche;: "><script>alert("Hello");</script>
<html>
....

Sieht stark danach aus, als ob entweder zu Beginn der Seite oder in der Include-Datei aus Debug-Gründen eine Ausgabe eingebaut wurde, die jetzt stört.

- Sven Rautenberg