An die Wissenden:

Danke ;-)

Heisst das, dass ich alle Anweisungen in meinen Scripten, die irgendwie auf $_GET- oder $_POST-Variablen ansetzen, auf diese Angriffsmöglichkeiten untersuchen müsste?

Nicht nur das. Ich habe während meiner MaTA-Ausbildung ein Referat zum Thema "Web-Sicherheit" halten müssen, nachdem ich über eine XSS-Schwachstelle das Gästebuch eines Projekt-Teams gehackt hatte. Schau mal unter http://schueler.freepage.de/robertbienert/dokumente/web/PHPMySQLSicherheit.html vorbei. Zum Thema XSS (Cross-Site-Scripting war in der iX 8/2004 ein interessanter Artikel.

Es sieht ja so aus, als ob spezielle "board"-Systeme davon betroffen seien, also nicht unbedingt das ein oder andere Script auf einer privaten Homepage, das per URL?variable=parameter irgendwelche Reaktionen zeigt.

Prinzipiell ist jedes Script davon betroffen, gleichgültig davon, ob auf www.ebay.de oder www.cooler-provider.com/private-homepages/hans-mueller. Nur bei bekannteren Webseiten und/oder Forensystemen gibt es natürlich mehr Leute, die dort nach Schwachstellen suchen.

Oder muss ich mir _gerade_ in diesem Falle Gedanken machen?

Mach dir generell Gedanken, das erspart dir im Ernstfall viel Ärger und evtl. sogar Geld (Schadensersatz, weil _dein_ Script z.B. die Microsoft-Seite lahmgelegt hat).

Liebe Grüße aus Ellwangen,

Felix Riesterer.

Gruß, Robert