Hi Titus,
ja danke für den Tipp.... nur z.B. bei Suchmaschinen würde das nicht funktionieren.
Aber Du bestätigst ja meine Meinung das man eigentlich nichts mit JS manipulieren bzw. PHP Variablen auslesen kann.
Sicherheit - Globale Variablen - JS
Einklappen
X
-
JavaScript in eine Seite kriegen würde, aber wie sollte ich damit eine Variable von PHP auslesen? PHP ist ja schließlich Serverseitig und JS Clientseitig.
Aber bei der Ausgabe von User-Eingaben solltest du htmlentities benutzen - egal ob die Daten auf eine normale Seite oder in ein Eingabe-Formular gepostet werden.
Dadurch werden sämtlich HTML-Tags nämlich nicht interpretiert, sondern angezeigt; und damit hat auch <script> ... </script> keine Chance mehr.
Einen Kommentar schreiben:
-
Sicherheit - Globale Variablen - JS
Hi,
hab nen Hinweis bekommen das es möglich ist über eine Formular Eingabe PHP Variablen auszuspionieren.
Deswegen sollte ich so was in meinem Code einbauen um js zu verhindern:
PHP-Code:foreach ($HTTP_GET_VARS as $secvalue) {
if (eregi("<[^>]*script*\"?[^>]*>", $secvalue)) {
die ("Bad Code was posted...");
}
}
http://domain.de/?variable=<script>js_script</script>
JavaScript in eine Seite kriegen würde, aber wie sollte ich damit eine Variable von PHP auslesen? PHP ist ja schließlich Serverseitig und JS Clientseitig.
Ich wollt Euch mal fragen wie müßte ein PHP Script aussehen damit ich wirklich was böses mit JS in nem PHP Script anfangen könnte? Und brauch ich wirklich diese foreach Schleife?Stichworte: -
Einen Kommentar schreiben: