hi,
Wenn externe Parameterwerte in den HTML-Code übernommen werden, dann bitte _immer_, wenn schon nicht erst nach Überprüfung auf "Gültigkeit", dann doch wengistens mit htmlspecialchars() behandelt.
Reicht in dem Fall ein urlencode()?
Nein, der Kontext HTML wünscht sich eine Behandlung der Daten mittels htmlspecialchars().
urlencode dürfte zwar auch keine "gefährlichen" Zeichen mehr "übrig lassen" - aber es wäre hier absolut kontraproduktiv - urlencode('http://www.example.com/') ergäbe http%3A%2F%2Fwww.example.com%2F, und das eigent sich nicht zum Verlinken.
Auf, der _vorherigen_ Seite, wo das Script mit dieser Adresse als Parameter verlinkt werden soll, ist urlencode aber natürlich erforderlich.
gruß,
wahsaga
--
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }