Matti Mäkitalo: Absicherung von Formularen gegen schadhaftem Code

Beitrag lesen

Hi,

man soll ja immer mit Allem rechnen und somit auch damit, dass in Formularfelder schadhafter Code eingegeben wird.

die Antwort ist einfach. Schadhafte Daten (denn Nutzer geben Daten ein und nicht Code) müssen immer ihrem Kontext entsprechend behandelt werden. Im SQL-Kontext gibt es andere Daten, die zu Sicherheitslücken führen (das ' fällt hierbei ein), im HTML-Kontext sind es andere (<, >, welche deine Seite stark verändern können, wenn man nicht darauf aufpasst; & muss auch noch maskiert werden).

Daher: wenn du Daten irgendwohin ausgibst, beachte den Kontextwechsel.

Bis die Tage,
Matti