Lieber Sascha,

wenn Du auf der Serverseite mit PHP sicherstellst, dass schadhafter Code in maskierter Form abgelegt wird, dann ist das sicher. Dass Du mit JavaScript einen Vorschauservice anbietest, der im Grunde diesen Effekt vorher veranschaulicht, ist dem Benutzer gegenüber sehr nett, aber keineswegs für die (serverseitige!) Sicherheit relevant. Daher wären auch Manipulationen an diesem JavaScript-Mechanismus sicherheitstechnisch irrelevant.

Liebe Grüße aus Ellwangen,

Felix Riesterer.

Lieber Felix,

Danke für deine Antwort.

Die Sache ist wie folgt:
Drückt der Nutzer auf Vorschau wird der Inhalt der Textarea in einem DIV dargestellt und entsprechender Code interpretiert.  Quasi kann er sich seinen Kommentar im Vorraus anschauen und ggf. korrigieren.
Das würde doch bedeuten, dass ohne Filter auch schadhafter PHP / JS Code interpretiert wird?

Dies wollte ich mit der JS Funktion unterbinden.

PS: Die Vorschau läuft über JS und wird dementsprechend ohne Neuladen der Seite generiert, was bedeutet, dass PHP auf die Vorschau keinen Einfluss hat.

Ich habe leider keine große Ahnung davon was man alles schadhaftes mit einer Textarea anstellen kann, deshalb bin ich vielleicht zu vorsichtig.

Ich hoffe ich konnte meine Bedenken einigermaßen verständlich rüberbringen?

Oder war das nur ein unvorsichtiges Copy&Paste aus PHP-Code heraus?

Erwischt ;)

Gruß Sascha