nicht angemeldet
HTML, Jacasript und sonstigen Code in Texteingaben ablehnen
0 
Der Martin
0
HTML, Jacasript und sonstigen Code in Texteingaben ablehnen
Hallo,
macht es Sinn, Eingabefelder schon vor dem Absenden auf irgendwelchen Code hin zu checken und nur reinen Text durchzulassen?
Wenn ja, wie finde ich raus, ob die Eingabe HTML, Javascript oder sonst was enthält?
Reicht es einfach nur Sonderzeichen ausser .,;- !? rauszufiltern?
Vielen Dank schonmal
-
Hi,
macht es Sinn, Eingabefelder schon vor dem Absenden auf irgendwelchen Code hin zu checken und nur reinen Text durchzulassen?
kommt auf den Anwendungsfall an. Normalerweise würde ich sagen: Nein.
Sinnvoller und vernünftiger ist es, bei der Ausgabe oder Übergabe in einen anderen Kontext dessen Maskierungs- oder Codierungsregeln anzuwenden, so dass die Eingaben neutral und ohne Nebenwirkung bleiben.Ciao,
Martin--
Lieber arm dran als Arm ab.
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(-
kommt auf den Anwendungsfall an. Normalerweise würde ich sagen: Nein.
Sinnvoller und vernünftiger ist es, bei der Ausgabe oder Übergabe in einen anderen Kontext dessen Maskierungs- oder Codierungsregeln anzuwenden, so dass die Eingaben neutral und ohne Nebenwirkung bleiben.Im konkreten Fall geht es um Texteingaben eines Messagesystems.
Da ists natürlich mit Maskieren Essig.Bin halt mittlerweile etwas vorsichtig, nachdem ich schon mal einen riesen Ärger mit der Teledoof hatte, wegen eines Hackerangriffs.
Gruß
-
Im konkreten Fall geht es um Texteingaben eines Messagesystems.
Da ists natürlich mit Maskieren Essig.Ich verstehe den Zusammenhang nicht - warum sollte das nicht gehen?
Bin halt mittlerweile etwas vorsichtig, nachdem ich schon mal einen riesen Ärger mit der Teledoof hatte, wegen eines Hackerangriffs.
Du redest wirres zeug.
-
Hallo,
Sinnvoller und vernünftiger ist es, bei der Ausgabe oder Übergabe in einen anderen Kontext dessen Maskierungs- oder Codierungsregeln anzuwenden, so dass die Eingaben neutral und ohne Nebenwirkung bleiben.
Im konkreten Fall geht es um Texteingaben eines Messagesystems.
Da ists natürlich mit Maskieren Essig.inwiefern stellt das ein Problem dar? HTML-Ausgabe ist HTML-Ausgabe. Und wenn's zwischendurch in 'ner Datenbank landet, dann wird's halt an der Stelle für den SQL-Kontext aufbereitet. Ich sehe nirgendwo ein Problem, das nicht zu beheben wäre.
Bin halt mittlerweile etwas vorsichtig, nachdem ich schon mal einen riesen Ärger mit der Teledoof hatte, wegen eines Hackerangriffs.
Dann hast Du vermutlich den einen oder anderen Programmierfehler begangen und leider immer noch nicht verstanden, welche das sind.
Freundliche Grüße
Vinzenz
-
-
-
Hallo,
macht es Sinn, Eingabefelder schon vor dem Absenden auf irgendwelchen Code hin zu checken und nur reinen Text durchzulassen?
dafür fällt mir gerade kein Anwendungsfall ein.
Es ist sinnvoll, spezielle Eingabefelder auf ihren Inhalt hin zu prüfen, zum Beispiel Datumseingaben, Felder für eine Anzahl und ähnliche.
Was für ein Glück, dass dieses Forum hier die Eingabe von HTML-, Javascript-, PHP-, SQL- und sogar Perl-Coder erlaubt. Wäre dem nicht so, sein Sinn wäre dahin.
Wie Martin bereits schrieb, ist es viel sinnvoller, sowas bei der *Ausgabe* kontextgerecht zu behandeln.
Freundliche Grüße
Vinzenz
-
Wie Martin bereits schrieb, ist es viel sinnvoller, sowas bei der *Ausgabe* kontextgerecht zu behandeln.
Und natürlich auch beim Übertragen in andere Kontexte - z.B. wenn die Zeichenkette aus dem Eingabefeld in ein INSERT-Statement eingebaut wird.
Bobby Tables lässt grüßen.
-
Hallo,
Wie Martin bereits schrieb, ist es viel sinnvoller, sowas bei der *Ausgabe* kontextgerecht zu behandeln.
Und natürlich auch beim Übertragen in andere Kontexteauch das erwähnte ich bereits im gleichen Satz.
Bobby Tables lässt grüßen.
Eben. :-)
Ciao,
Martin--
Nicht jeder, der aus dem Rahmen fällt, war vorher im Bilde.
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(
-
-