phpBB.de

Hallo,

ich habe auch mal wieder eine Frage. Sehe ich das richtig, daß, wenn man über echo beliebigen Code ausgibt, dies nicht gefährlich werden kann?

Ich meine Code der nicht gespeichert wird, sondern Code der von einem Besucher/bot in ein Formular eingegeben und dann per echo ausgegeben wird (und das Ergebnis so nur diesem Besucher/bot angezeigt wird). "Schlimmstenfalls" werden irgendwelcher Links erzeugt oder Inhalte eingefügt aber passieren kann doch nichts oder?

Ausser das man von deiner Seite sofort weitergeleitet wird, eigentlich nichts, wenns nur um HTML geht, natürlich könnte man so auch anderen für die Seite gefährlichen Code einschleusen.
Am sichersten ist man noch dran, wenn man schon html erlaubt, meta tags, javascript und stylesheets verbietet.

fanrpg hat geschrieben: natürlich könnte man so auch anderen für die Seite gefährlichen Code einschleusen.
...
...javascript...

Was für code könnte das denn sein bzw. was sollte der machen können? php Code wird nicht ausgeführt. Mit javascript kenne ich mich nicht aus aber das wird doch nur beim Nutzer ausgeführt und kann auf dem Server nichts ausrichten oder nicht?

Um das klarzustellen, die Seite kann von mir aus vollkommen zerschossen dargestellt werden (wenn der jeweilige Nutzer das so will bitte), es geht mir nur darum, daß auf diesem Weg am Server bzw. an den Dateien kein Schaden entstehen kann. Zur Zeit entferne ich alle tags.

Mit javascript kann man Sessions von anderen Usern 'klauen' (Session Hijacking).

Z.B. könnte mir ein Javascript mir Deine Session von phpBB liefern und
ich könnte als Du agieren.

@wissler - nettes Design hat das Stadtagenten Board.

Gehört zwar nicht in den Thread, musste ich trotzdem schnell loswerden.

Wissler hat geschrieben:Mit javascript kann man Sessions von anderen Usern 'klauen' (Session Hijacking).

Danke, auch gut zu wissen aber Session oder ähnliches gibt es da nicht, das hat nichts mit phpbb zu tun.

Einfach ein Formular mit ein bißchen html drumrum wo man ein Wort, einen Text oder was auch immer böses eingeben kann und das dann per echo ausgegeben wird.

"echo" führt nichts aus, was in den jeweiligen Varialben steht. Da ist für den Server keine Gefahr.

Grüße
Dennis

Das echo nur was ausgibt war mir im Grunde klar. Ich weiß/wußte bloß nicht ob ich was, was dennoch schädlich sein könnte, übersehe (z.B. javascript).

Nach dem was hier rauskommt und was ich an anderer Stelle gefunden habe, müßte um Schaden anzurichten schon vorher ein Sicherheitsloch bestehen. Für dessen Ausnutzung wäre mein Formular aber auch nicht nötig.

Danke an alle Antwortenden.

Xwitz hat geschrieben: Einfach ein Formular mit ein bißchen html drumrum wo man ein Wort, einen Text oder was auch immer böses eingeben kann und das dann per echo ausgegeben wird.

Dann solltest du mit ziemlicher Sicherheit die Funktion htmlspecialchars() benutzen um den eingegeben Text auf die Ausgabe vorzubereiten.

Ist zwar keine wirkliche Gefahr, aber ein User kann je nach dem mittels HTML dein Seiten-Design ganz schön verzerren...