phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] escape bei Ausgabe von Request-Parametern

Sebastian Mendel lists at sebastianmendel.de
Mon Nov 13 11:11:37 CET 2006

Vorherige Nachricht: [php] escape bei Ausgabe von Request-Parametern
Nächste Nachricht: [php] Probleme mit Benutzerrechten nach einem UploadmittelsHTML-Form und PHP
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

Stephan Beck schrieb:

> Ich nutze derzeit auch die htmlspecialchars-Umwandlung, wollte aber mal schaun, ob es andere Leute gibt, die das Problem auf andere und / oder elegantere Weise gelöst haben...

ich mach das auch nicht anders, nur das ich eben nicht 
htmlspecialchars() verwende sondern Smarty und somit escape|'html'

ich escape die Ausgabe also wirklich erst dort wo sie tatsächlich 
ausgegeben wird - und von dem Objekt (Smarty) das auch sonst für die 
Ausgabe zuständig ist

man könnte sein Smarty natürlich um eine Funktion erweitern wie z.B.

$smarty->assign_escaped('var', $var);

und dabei gleich beim zuweisen der Variable den Inhalt escapen um sich 
das escape|'html' im Template zu sparen

aber dann muss die Anwendung zum Zeitpunkt des zuweisens ja bereits 
wissen wie die Variable in dem Template verwendet werden soll (HTML, 
URl, JavaScript, ...) - das widerspricht aber dem Zweck von Templates - 
Trennung von Anwendung und Präsentation.


-- 
Sebastian Mendel

www.sebastianmendel.de

Vorherige Nachricht: [php] escape bei Ausgabe von Request-Parametern
Nächste Nachricht: [php] Probleme mit Benutzerrechten nach einem UploadmittelsHTML-Form und PHP
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive