Re: Formular bei Fehlern anzeigen
Von: Wolfgang Fellger (wfnews@web.de) [Profil]
Datum: 07.06.2008 17:45
Message-ID: <484aad33$0$6601$9b4e6d93@newsspool2.arcor-online.net>
Newsgroup: de.comp.lang.php.misc
Datum: 07.06.2008 17:45
Message-ID: <484aad33$0$6601$9b4e6d93@newsspool2.arcor-online.net>
Newsgroup: de.comp.lang.php.misc
Johannes Mueller schrieb: >Weil man vielleicht Dinge wie "<a href="#" >onmouseover="alert('XSS')">xy</a>" vermeiden möchte. Und? Was ist schlimm daran, wenn der Nutzer einen Text eingibt, der zufällig auch als HTML interpretiert werden könnte? Wer sowas "vermeiden" möchte, hat den Unterschied zwischen Text und dessen Kodierung für ein spezielle Format, beispielsweise HTML, nicht verstanden. Ich halte nichts davon, Nutzereingaben stillschweigend zu verstümmeln. Allerhöchstens kannst du die Annahme komplett verweigern, dann aber bitte auch den Grund angeben. -- Wolfgang Fellger[ Auf dieses Posting antworten ]