nicht angemeldet
Gunnar Bittersmann@@dedlfix:
nuqneH
Es kommt auf den Inhalt an. Wenn der ein im Script notierter String mit Sonderzeichen im Sinne des Zielkontextes ist, ist die Quelle immer noch unbedenklich - und trotzdem muss er behandelt werden.
Stimmt man möchte nicht
$foo = 'bar & baz';
echo $foo;
im PHP-Code haben, sondern
$foo = 'bar & baz';
echo htmlspecialchars($foo);
d.h. erst escapen, wenn man den String in den HTML-Kontext bringt.
Qapla'
--
Gut sein ist edel. Andere lehren, gut zu sein, ist noch edler. Und einfacher.
(Mark Twain)
Gut sein ist edel. Andere lehren, gut zu sein, ist noch edler. Und einfacher.
(Mark Twain)
MudGuard
Der Martin