nicht angemeldet
Gunnar Bittersmann@@alextde:
nuqneH
Bitte erläutere mir wieso der Code nicht ok ist. Die php Version würde ich sonst nutzen.
NEIN!!
Würde die Seite mit angehängtem ?img="/><script>alert("böses JavaScript");</script>
aufgerufen werden, wird der fremde JavaScript-Code ausgefüht. S.a. http://forum.de.selfhtml.org/archiv/2010/9/t200404/#m1350619
<?php
if($_GET['img']){
?><img src="<?=$_GET['img']?>" alt=""><?php
}
?>
ist multipler Unsinn.
1. NIEMALS Nutzereingaben unbearbeitet ausgeben! $_GET['img'] ist mit `` zu bearbeiten.
2. Es sollte auf isset($_GET['img']) geprüft werden
3. Vermurkste Syntax. Entweder
<?php
if (isset($_GET['img']))
{
echo '<img src="' . htmlspecialchars($_GET['img']) . '" alt="">'
}
?>
oder
<?php if (isset($_GET['img'])): ?>
<img src="<?php echo htmlspecialchars($_GET['img']); ?>" alt="">
<?php endif; ?>
Qapla'
--
Gut sein ist edel. Andere lehren, gut zu sein, ist noch edler. Und einfacher.
(Mark Twain)
Gut sein ist edel. Andere lehren, gut zu sein, ist noch edler. Und einfacher.
(Mark Twain)