Checkbox von PHP nach HTML auslesen bearbeitet von TS 21.01.2017 20:49 Hallo und guten Abend, dieser Thread könnte sich tatsächlich noch ausweiten ;-) > > Für das Auslesen dient eine PHP-Datei (auszugsweise): > > > ~~~php > foreach($_POST as $key=> $val) { > $fmtResponse= str_replace("<$key>", $val, $fmtResponse); > } > > ~~~ Das sollte besser heißen: ~~~php foreach($_POST as $key=> $val) { $fmtResponse= str_replace("<$key>", htmlspecialchars($val, ENT_QUOTES), $fmtResponse); } ~~~ um XSS-Angriffe und ähnliche zu ersticken. Wichtig für htmlspecialchars() ist dann, dass das Encoding im Script vorher gesetzt wurde, oder auch noch explizit in der Funktion angegeben wurde. Anderenfalls kann das Ergebnis auch leer bleiben. Das ergibt dann so einen "Ich-krieg-die-Kriese-Debugging-Fall", da die Kontrollausgaben dann meistens auch nicht funktionieren. Grüße TS -- es wachse der Freifunk <http://freifunk-oberharz.de>
Checkbox von PHP nach HTML auslesen bearbeitet von TS 21.01.2017 20:50 Hallo und guten Abend, dieser Thread könnte sich tatsächlich noch ausweiten ;-) > > Für das Auslesen dient eine PHP-Datei (auszugsweise): > > > ~~~php > foreach($_POST as $key=> $val) { > $fmtResponse= str_replace("<$key>", $val, $fmtResponse); > } > > ~~~ Das sollte besser heißen: ~~~php foreach($_POST as $key=> $val) { $fmtResponse= str_replace("<$key>", htmlspecialchars($val, ENT_QUOTES), $fmtResponse); } ~~~ um XSS-Angriffe und ähnliche zu ersticken. Wichtig für htmlspecialchars() ist dann, dass das Encoding im Script vorher gesetzt wurde, oder auch noch explizit in der Funktion angegeben wurde. Anderenfalls kann das Ergebnis auch leer bleiben. Das ergibt dann so einen "Ich-krieg-die-Kriese-Debugging-Fall", da die Kontrollausgaben dann meistens auch nicht funktionieren. Grüße TS -- es wachse der Freifunk <http://freifunk-oberharz.de>
nicht angemeldet
