Hi!

Wenn ich htmlspecialchars() nicht verwende, die Ausgabe nur mit nl2br dennoch gut aussieht, ist das ja egal, oder?

wie sagt meine Mama immer? Egal ist 88.

Angenommen ein User traegt HTMLcode ein. Dann wird dieser auch als HTMLcode interpretiert. Damit ist aber z.B. auch ne JS Injektion moeglich.

Beispiel:

Ein User screibt ein Kommentar und fuegt ein <script> ein, dass auf schaedlichen JS Code weist. (Es gibt z.B. JavaScript proxies, die man so auf fremde Rechner bringen koennte.) Oder schreibt gleich selbst seitenlange Skripte, dann wird das vom Browser auch so interpretiert und Deine Seite ist eine echte Sicherheitsluecke.

Htmlspecialchars() nimmt z.B. die spitzen Klammern < und > und macht daraus HTMLcodes, sodass nachher dort <script> zu lesen ist. Einfuegen von spaeter interpretierten Tags ist nicht mehr moeglich.

Deshalb ist es verwunderlich, dass diese Funktion abgeschaltet ist. Sie ist eigentlich das A und O bei der Sicherheitslueckenbekaempfung. Bliebe noch striptags, aber damit kann man dann z.B. keine HTMLcodes mehr posten, weil alles was nach HTMLtag aussieht einfach entfernt wird.

Man koennte dann noch mit eigenen Funktionen auf 'specialcodesuche' gehen.