Moin!

Welche Funktionen benutzt ihr um schädlichen Code aus Eingaben zu entfernen.

htmlspecialchars() wandelt alles, was in HTML böse Auswirkungen haben KÖNNTE, in Entities um, so dass der eingegebene Text in jedem Fall wieder nur simpler Text wird, und keinerlei schädliche Aktivität entfalten kann.

Als wie ausreichend würdet ihr folgende Funktion beurteilen?

Die Funktion ist unzureichend. Sie filtert nach Negativliste gewisse Dinge, die dir nicht gefallen, obwohl du niemals alles kennen kannst, was dir eventuell nicht gefällt.

Der korrekte Ansatz wäre, nach Positivliste gewisse Dinge, von denen du sicher bist, dass sie unschädlich sind, durchzulassen, und alles andere rauszufiltern.

htmlspecialchars() tut genau das.

- Sven Rautenberg