nicht angemeldet
Hi wahsaga,
Damit wird die Seite aber anfällig für Cross Site Scripting/XSS - da der Client u.U. Möglichkeiten hat, den REQUEST_URI zu manipulieren.
Wende also bitte noch htmlspecialchars() auf den Wert an, bevor du ihn in die Seite ausgibst.
Grundsätzlich hast du natürlich Recht - aber ist das hier wirklich so von Wichtigkeit? Will sagen, die Seite erhält in der der Form doch nur der aufrufende Client, der Angreifer würde doch also nur sich selber schaden - oder sehe ich da entwas grundliegend falsch?
MfG, Dennis.
--
Mein SelfCode: ie:{ fl:( br:> va:) ls:[ fo:) rl:( n4:# ss:) de:] js:| ch:{ sh:| mo:} zu:|
Die FlatBox 0.3.1 mit Dokumentation ist da!
Der Sikh - www.schaumerlmal.de
Mein SelfCode: ie:{ fl:( br:> va:) ls:[ fo:) rl:( n4:# ss:) de:] js:| ch:{ sh:| mo:} zu:|
Die FlatBox 0.3.1 mit Dokumentation ist da!
Der Sikh - www.schaumerlmal.de