Gunnar Bittersmann: Apostroph in textfeld bei automatisch erzeugtem Text

Beitrag lesen

@@JochenT:

nuqneH

... worum ich hier nicht gebeten habe.
Wenn jemand erweitertes Wissen über etwas verlangt, so wird er danach fragen.

Nein, manchmal ist ist eine über die Fragestellung hinausgehende Antwort dringend geboten, denn …

Es gibt einfach Leute, deren Lebensinhalt nicht komplett durch PHP bestimmt wird, von daher einfach normal antworten, keine unnötigen Vorträge halten und das Problem ist gelöst.

Diese Einstellung ist bei der PHP-Entwicklung überhaupt nicht angesagt. Entweder man macht es richtig oder man lässt besser die Finger von PHP. Denn man kann bei PHP einiges falsch machen und riesige Sicherheitslöcher aufreißen. (Cross-Site Scripting (XSS))

Das war auch bei dir der Fall, denn dein „Text wird mittels eines Scripts aus einer Excel Tabelle geholt auf die [du] keinen Einfluss [hast]“.

Eingaben aus fremder Quelle sind prinzipiell als „böse“ anzusehen und man darf sie keinesfalls unbearbeitet per echo in HTML-Code einfügen. Die Behandlung mit htmlspecialchars verhindert das Schlimmste und ist dringeng geboten – unabhängig von deinem ursprünglichen Problem.

Qapla'

--
Gut sein ist edel. Andere lehren, gut zu sein, ist noch edler. Und einfacher.
(Mark Twain)