Provoziert? Provoziert!
bearbeitet von Jörg ReinholzMoin!
> Das hieße, dass man echo immer mit htmlspecialchars() verwenden sollte, nie ohne.
Nicht immer:
~~~php
echo intval ($foo * $bar), " Ocken";
printf("%u Fliegen haben recht!...", $oneMilliarde);
~~~
> ~~~php
> function printSanitized($output)
> {
> print htmlspecialchars($output);
> }
> ~~~
>
> Richtig?
Ich vermute mal Du wolltest so eine Antwort provozieren:
Nein. Es gibt keinerlei Vorteil sich hierfür quasi eine Kopie der nativen Funktion zu machen, die dann - anders als das Original - nicht mal im Name erkennen lässt, was diese tut. Der Sicherheitsgewinn ist also sogar negativ.
Jörg Reinholz
Provoziert? Provoziert!
bearbeitet von Jörg ReinholzMoin!
> Das hieße, dass man echo immer mit htmlspecialchars() verwenden sollte, nie ohne.
Nicht immer:
~~~php
echo intval ($foo * $bar), " Ocken";
printf("%u Fliegen haben recht!...", ,1000000000);
~~~
> ~~~php
> function printSanitized($output)
> {
> print htmlspecialchars($output);
> }
> ~~~
>
> Richtig?
Ich vermute mal Du wolltest so eine Antwort provozieren:
Nein. Es gibt keinerlei Vorteil sich hierfür quasi eine Kopie der nativen Funktion zu machen, die dann - anders als das Original - nicht mal im Name erkennen lässt, was diese tut. Der Sicherheitsgewinn ist also sogar negativ.
Jörg Reinholz
Provoziert? Provoziert!
bearbeitet von Jörg ReinholzMoin!
> Das hieße, dass man echo immer mit htmlspecialchars() verwenden sollte, nie ohne.
Nicht immer:
~~~php
echo intval ($foo * $bar), " Ocken";
printf("%u Fliegen haben recht!...", ,100000);
~~~
> ~~~php
> function printSanitized($output)
> {
> print htmlspecialchars($output);
> }
> ~~~
>
> Richtig?
Ich vermute mal Du wolltest so eine Antwort provozieren:
Nein. Es gibt keinerlei Vorteil sich hierfür quasi eine Kopie der nativen Funktion zu machen, die dann - anders als das Original - nicht mal im Name erkennen lässt, was diese tut. Der Sicherheitsgewinn ist also sogar negativ.
Jörg Reinholz
Provoziert? Provoziert!
bearbeitet von Jörg ReinholzMoin!
> Das hieße, dass man echo immer mit htmlspecialchars() verwenden sollte, nie ohne.
Nicht immer:
~~~php
echo intval ($foo * $bar), " Ocken";
echo sprintf("%u Fliegen haben recht!...", ,100000);
~~~
> ~~~php
> function printSanitized($output)
> {
> print htmlspecialchars($output);
> }
> ~~~
>
> Richtig?
Ich vermute mal Du wolltest so eine Antwort provozieren:
Nein. Es gibt keinerlei Vorteil sich hierfür quasi eine Kopie der nativen Funktion zu machen, die dann - anders als das Original - nicht mal im Name erkennen lässt, was diese tut. Der Sicherheitsgewinn ist also sogar negativ.
Jörg Reinholz
Provoziert? Provoziert!
bearbeitet von Jörg ReinholzMoin!
> ~~~php
> function printSanitized($output)
> {
> print htmlspecialchars($output);
> }
> ~~~
>
> Richtig?
Ich vermute mal Du wolltest so eine Antwort provozieren:
Nein. Es gibt keinerlei Vorteil sich hierfür quasi eine Kopie der nativen Funktion zu machen, die dann - anders als das Original - nicht mal im Name erkennen lässt, was diese tut. Der Sicherheitsgewinn ist also sogar negativ.
Jörg Reinholz