Sicherheit - Globale Variablen - JS

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Sebastian W
    antwortet
    Hi Titus,

    ja danke für den Tipp.... nur z.B. bei Suchmaschinen würde das nicht funktionieren.

    Aber Du bestätigst ja meine Meinung das man eigentlich nichts mit JS manipulieren bzw. PHP Variablen auslesen kann.

    Einen Kommentar schreiben:


  • Titus
    antwortet
    JavaScript in eine Seite kriegen würde, aber wie sollte ich damit eine Variable von PHP auslesen? PHP ist ja schließlich Serverseitig und JS Clientseitig.
    Gut erkannt. Die einzig knifflige Stelle ist eval ...

    Aber bei der Ausgabe von User-Eingaben solltest du htmlentities benutzen - egal ob die Daten auf eine normale Seite oder in ein Eingabe-Formular gepostet werden.
    Dadurch werden sämtlich HTML-Tags nämlich nicht interpretiert, sondern angezeigt; und damit hat auch <script> ... </script> keine Chance mehr.

    Einen Kommentar schreiben:


  • Sebastian W
    hat ein Thema erstellt Sicherheit - Globale Variablen - JS.

    Sicherheit - Globale Variablen - JS

    Hi,

    hab nen Hinweis bekommen das es möglich ist über eine Formular Eingabe PHP Variablen auszuspionieren.

    Deswegen sollte ich so was in meinem Code einbauen um js zu verhindern:
    PHP-Code:
    foreach ($HTTP_GET_VARS as $secvalue) { 
        if (
    eregi("<[^>]*script*\"?[^>]*>"$secvalue)) { 
            die (
    "Bad Code was posted..."); 
        } 

    Mir ist klar das man mit:
    http://domain.de/?variable=<script>js_script</script>
    JavaScript in eine Seite kriegen würde, aber wie sollte ich damit eine Variable von PHP auslesen? PHP ist ja schließlich Serverseitig und JS Clientseitig.

    Ich wollt Euch mal fragen wie müßte ein PHP Script aussehen damit ich wirklich was böses mit JS in nem PHP Script anfangen könnte? Und brauch ich wirklich diese foreach Schleife?
Lädt...
X