Moin Yadgar,
Die Forderung ist richtig, aber die Begründung kann variieren. Ob XSS-Gefahr besteht, hängt davon ab, wer die Stichworttabelle pflegt. Muss man seinem eigenen Tabellen-Admin misstrauen?
Wohl kaum, der Tabellen-Admin bin nämlich ich selbst und niemand sonst. Und daran wird sich auch nichts ändern, da sich diese Datenbank ausschließlich auf ein streng persönliches Tagebuch bezieht. Dieses Tagebuch ist über weite Strecken ein Produkt meines kranken Geistes […]
Nichtsdestrotrotz könn(t)en deine Schlagworte (irgendwann) so „unverdächtige“ Zeichen wie "Anführungszeichen'
, das „Kaufmanns-Und“ &
oder >spitze Klammern<
enthalten. Das ist zwar dann nicht zwingend eine Sicherheitslücke, kann dir aber die Anzeige zerschießen.
Im Übrigen wird im Allgemeinen mehr Zeit und Energie darauf verwandt zu argumentieren, warum ein Kontextwechsel scheinbar harmlos ist, anstatt die korrekte Behandlung einfach schnell einzubauen. Und nichts hält sich hartnäckiger als die Wiederverwendung von Code und damit auch von solchen „Schlampereien“ bzw. Anti-Patterns. Es richtig (TM) zu machen, zahlt sich immer aus.
Viele Grüße
Robert