hi,

Wenn die HTML-Dokument auch über PHP erstellt werden, kann man darin auch ein <style>-Element direkt ausgeben

aber externe css-datei ist doch eleganter, oder?

Ach wirklich?
X Dateien auf dem Server rumgammeln haben, die alle nur eins machen - eine unterschiedliche Schriftgrößenangabe - soll elegant sein?

• und ansonsten auch ein PHP-Script, welches eben diese Rule mit der font-size als CSS-Inhalt ausliefert, per <link> einbinden.

..wohin ausliefert?

An den Client vielleicht ...?

Wahlweise aber natürlich auch an deine Oma, wenn die sich für CSS im Allgemeinen und Schriftgrößenformatierungen im Besonderen interessiert.

bitte erkläre mir die xss-geschichte kurz:

Wo hast du nachgeschaut/gesucht, um dich darüber zu informieren?

heißt das, dass ich in einem php-script keine variable verwenden darf, ohne sie auf herz und nieren zu überprüfen?

Natürlich heisst es das - absolut keinen von extern kommenden Wert solltest du ungeprüft bzw. unmaskiert irgendwo als HTML ausgeben oder in einen anderen potentiell gefährdeten Kontext bringen.

wo genau wäre in dem scriptbeispiel von mier die schwachstelle?

An der Stelle, wo du einen von extern kommenden Wert ausgibst, ohne ihn ausreichend überprüft bzw. entschärft zu haben.

bitte poste ein konkretes beispiel, welchen code ein user mitschicken könnte, um irgendwas damit anzustellen!

Er könnte ganz einfach einen Wert mitschicken, der dafür sorgt, dass der <link>-Tag in deinem Script beendet, und danach bspw. ein <script>-Element ausgegeben wird.

gruß,
wahsaga