Gunnar Bittersmann: htmlspecialchars

Beitrag lesen

@@Jnnbo

Wenn wir schon beim Thema „htmlspecialchars“ sind, müssen die auch genutzt werden, wenn man Daten die durch ein POST kommen an eine Funktion übergibt?

Nein. Die kontextgerechte Behandlung muss immer genau dann vorgenommen werden, wenn ein Kontextwechsel vollzogen wird. Nicht früher, nicht später.

Das Escapen von HTML-Sonderzeichen (htmlspecialchars()) also genau dann (um XSS zu vermeiden), wenn Daten in den HTML-Kontext gebracht werden (echo). Nicht früher.

Wenn Daten in den SQL-Kontext gebracht werden, müssen SQL-Sonderzeichen escapet werden, um SQL-Injecions zu verhindern. Prepared Statements können einem das abnehmen.

LLAP 🖖

--
Ist diese Antwort anstößig? Dann könnte sie nützlich sein.