Gefährlicher HTML Code gibt es so was?
Gefährlicher HTML Code gibt es so was?
Hallo,
ich habe auch mal wieder eine Frage. Sehe ich das richtig, daß, wenn man über echo beliebigen Code ausgibt, dies nicht gefährlich werden kann?
Ich meine Code der nicht gespeichert wird, sondern Code der von einem Besucher/bot in ein Formular eingegeben und dann per echo ausgegeben wird (und das Ergebnis so nur diesem Besucher/bot angezeigt wird). "Schlimmstenfalls" werden irgendwelcher Links erzeugt oder Inhalte eingefügt aber passieren kann doch nichts oder?
ich habe auch mal wieder eine Frage. Sehe ich das richtig, daß, wenn man über echo beliebigen Code ausgibt, dies nicht gefährlich werden kann?
Ich meine Code der nicht gespeichert wird, sondern Code der von einem Besucher/bot in ein Formular eingegeben und dann per echo ausgegeben wird (und das Ergebnis so nur diesem Besucher/bot angezeigt wird). "Schlimmstenfalls" werden irgendwelcher Links erzeugt oder Inhalte eingefügt aber passieren kann doch nichts oder?
Was für code könnte das denn sein bzw. was sollte der machen können? php Code wird nicht ausgeführt. Mit javascript kenne ich mich nicht aus aber das wird doch nur beim Nutzer ausgeführt und kann auf dem Server nichts ausrichten oder nicht?fanrpg hat geschrieben: natürlich könnte man so auch anderen für die Seite gefährlichen Code einschleusen.
...
...javascript...
Um das klarzustellen, die Seite kann von mir aus vollkommen zerschossen dargestellt werden (wenn der jeweilige Nutzer das so will bitte), es geht mir nur darum, daß auf diesem Weg am Server bzw. an den Dateien kein Schaden entstehen kann. Zur Zeit entferne ich alle tags.
Danke, auch gut zu wissen aber Session oder ähnliches gibt es da nicht, das hat nichts mit phpbb zu tun.Wissler hat geschrieben:Mit javascript kann man Sessions von anderen Usern 'klauen' (Session Hijacking).
Einfach ein Formular mit ein bißchen html drumrum wo man ein Wort, einen Text oder was auch immer böses eingeben kann und das dann per echo ausgegeben wird.
Das echo nur was ausgibt war mir im Grunde klar. Ich weiß/wußte bloß nicht ob ich was, was dennoch schädlich sein könnte, übersehe (z.B. javascript).
Nach dem was hier rauskommt und was ich an anderer Stelle gefunden habe, müßte um Schaden anzurichten schon vorher ein Sicherheitsloch bestehen. Für dessen Ausnutzung wäre mein Formular aber auch nicht nötig.
Danke an alle Antwortenden.
Nach dem was hier rauskommt und was ich an anderer Stelle gefunden habe, müßte um Schaden anzurichten schon vorher ein Sicherheitsloch bestehen. Für dessen Ausnutzung wäre mein Formular aber auch nicht nötig.
Danke an alle Antwortenden.
Dann solltest du mit ziemlicher Sicherheit die Funktion htmlspecialchars() benutzen um den eingegeben Text auf die Ausgabe vorzubereiten.Xwitz hat geschrieben: Einfach ein Formular mit ein bißchen html drumrum wo man ein Wort, einen Text oder was auch immer böses eingeben kann und das dann per echo ausgegeben wird.