Siechfred: formular - value und name modern parsen

Beitrag lesen

Hallo Matti.

[...] eine print-Anweisung kann mit entsprechenden Argumenten versehen "böse" sein.
Könntest du mir hier bitte ein Beispiel geben?

Ich wusste, dass die Frage kommt :-)

Gemeint habe ich folgenden Fall. Angenommen, du hättest eine Textarea, in die du HTML-Code eingibst. Würdest du in diese Textarea das Folgende eintippen:

<html>
<body>
<script type="text/javascript">
<!--
  alert("Ein bisschen Javascript");
-->
</script>
</body>
</html>

und als Formularaktion an ein Script übergeben, das wie folgt aussähe:

#!/usr/bin/perl
use CGI;
print "Content-Type: text/html\n\n";
print CGI::param('text');

würde der oben stehende JS-Code ausgeführt werden. Deshalb meine Aussage, dass ich Parameter, die einem Script übergeben werden, grundsätzlich nicht ungeprüft ausgeben lassen würde. Ich erinnere in diesem Zusammenhang nur an den allseits bekannten Gästebuchterminator.

Grüße
Siechfred