Tom: Reservierungsformular

Beitrag lesen

SELF-Forum

Reservierungsformular

Tom Homepage des Autors
Informationen zu den Bewertungsregeln

Hello Ingo,

ist aber leider noch unschön und - was viel schlimmer ist - eine potentielle Spamschleuder.

<form action="<?php echo htmlspecialchars($_SERVER['PHP_SELF']); ?>" method="post">
htmlspecialchars() ist hier unnötig und $_SERVER['PHP_SELF'] ist manipulierbar.

Ich möchte nicht einfach behaupten, dass Du Unrecht hast. Ich habe das Thema aber ziemlich intensiv mit Christian Seiler durch und ich meine, er hatr Recht, wenn er sagt, dass

htmlspecialchars($_SERVER['PHP_SELF'])

nicht mehr manipulierbar für Cross-Site-Scripting ist. Dazu mpüsste man nämlich Tags unterbringen können für eine Manipulation des <form>-Elementes oder das Einschleusen von JavaScript. Das geht aber dank htmlspecialchars(), alse die kontextsgerechte Behandlung nicht mehr.

Bitte zeige uns, wenn es trotzdem noch eine Möglichkeit gibt. Wenn Du die nicht hier veröffentlichen magst, hätte ich vollstes (sic!) Verständnis dafür. Dann könntest Du ja eine email schicken, damit ich nicht doof sterben muss :-)

<p id="errmess"><?php if(isset($_out['error']['name'])) {echo $_out['error']['name'];} ?></p>
Auch wenn Tom meint, ein leerer Absatz stört nicht - ich sehe das anders: es wird ggfls. sinnloses Markup generiert. Dabei ist es doch so einfach, das <p /> mit über PHP ausgeben zu lassen.

Naja, er könnte auch den Absatz mit in die Error-Ausgabe aufnehmen. Dann hat er aber im nackten HTML-Template keinen Hinweis auf das Markup. Das ist dann vollkommen dynamisch und damit fehlerträchtig.

Einiges fehlt auch noch völlig, z.B. die "Demaskierung" von magic_quotes (sofern vorhanden)

das ist einfach zu erledigen. Einfach in der .htaccess abschalten ;-)
Andere Lösungen gibt es hier im Archiv -> suche "strip("

und die Berücksichtigung der Zeichenkodierung.

Die ist wichtig. In den Mailheadern darf uncodiert nur 7bit-ASCII auftauchen.
Es beitet sich also an, den thread dazu nochmal aus dem Archiv zu suchen, in dem das mal ziemlich weit ggetreieben wurde... Strichworte "quoted printable", "utf-8", "content-transfer-encoding", usw.

Aber auch eine Syntax-Prüfung der Telefonnummer wäre nicht verkehrt (und könnte auch den ein oder anderen Spam-Bot abhalten).

Da sehe ich aber schon wieder eine eine Einschränkung von Vanity-Nummern usw.

Liebe Grüße aus Syburg bei Dortmund

Tom vom Berg

--
Nur selber lernen macht schlau
http://bergpost.annerschbarrich.de
Beitrag melden
Informationen zu den Bewertungsregeln
0 30

Reservierungsformular

erich p.
  • php
  1. 0
    Tom
    1. 0
      erich p.
      1. 0
        Tom
        1. 0
          erich p.
          1. 0
            Tom
            1. 0
              erich p.
              1. 0
                Tom
                1. 0
                  erich p.
                  1. 0
                    Tom
              2. 0
                Ingo Turski
                1. 0
                  erich p.
                  1. 0
                    Ingo Turski
                  2. 0
                    Tom
                2. 0
                  Tom
                  1. 0
                    Ingo Turski
          2. 0
            Tom
        2. 0
          Tom
          1. 0

            CSS-Generierung mit PHP, Diskussionsbedarf

            Tom
            • css
        3. 0
          erich p.
          1. 0
            Tom
            1. 0
              erich p.
              1. 0
                Tom
                1. 0
                  erich p.
                  1. 0
                    Ingo Turski
                  2. 0
                    Tom
                    1. 0

                      Text-Ersetzung, Pattern-Ersetzung, Template-Engine

                      Tom
      2. 0
        Heidi
        1. 0
          erich p.
          1. 0
            Heidi