dedlfix: GET Felder prüfen gegen XSS (PHP)

Beitrag lesen

Tach!

Was den Einsatz von htmlspecialchars() in der Suche erschwert. Was nutzt Ihr alternativ zu strip_tags um die Inputfelder zu prüfen?

Nichts, was nicht aufgrund der Geschäftslogik geprüft werden müsste.

Dass keine Injection entsteht, ist Sache beim Ausgeben von Werten. Jedoch müssen alle Werte - ungeachtet ihrer Herkunft, also auch egal ob sie Nutzereingabe sind - kontextgerecht behandelt, wenn man sie anderenorts einfügen möchte.

htmlspecialchars() wendet man an, wenn man Werte in HTML einfügt. In Richtung Suche ergibt eine HTML-gerechte Maskierung keinen Sinn.

strip_tags() kann man nehmen, wenn man möchte, ist aber kein Sicherheitsfeature.

dedlfix.