[php] Zeitkontrolle

[Sebastian Müller]

>>>[zu PHP_SELF]
>>>Sobald ich etwas in der Art verwende, wie Du es vorgeschlagen hast,
>>>wird $_SERVER['PHP_SELF'] zu einem Leerstring und je nach Variante,
>>>wird daran das JS-Scriptlet angehaengt.
>>>Das ist weiter kein Schaden, ausgefuehrt wird JS aber nicht ...
>>>      
>>>
>>In deinem Beispiel wird das Javascript auf jeden Fall ausgeführt.
>>Ich weiß jetzt nicht wie du zu dieser Aussage kommst...
>>    
>>
Also bei mir hats gefunzt, aber nur mit dem IE, der Firefox macht aus
der URL

www.test.de/index.php"><script>alert('XSS')</script><

so was
www.test.de/index.php%22%3E%3Cscript%3Ealert('XSS')%3C/script%3E%3C

Daher geht das mit dem wohl nicht. Aber wie gesat im IE geht das
"natürlich" mal wieder. :(

Schöne Grüße aus Hamburg
Sebastian

-- 
new mediafactory Hamburg
Sebastian Müller
www.new-mediafactory.de