phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] Sicherheit, Output und htmlentities etc

Sebastian Mendel lists at sebastianmendel.de
Mon Mar 30 17:01:59 CEST 2009

Vorherige Nachricht: [php] Zend PDF Problem mit eingebunden Bildern
Nächste Nachricht: [php] Sicherheit, Output und htmlentities etc
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

On 28.03.2009 01:36, Andi wrote:
> Hallo zusammen,
>
> ich bin grad mal wieder am grübeln und frage mich wie kümmert sich denn
> der Rest der Welt um Ausgaben?
> Simples Beispiel, user gibt irgendwas in einer form an, zeug wird in DB
> geschrieben.
>
> An irgendeiner stelle liest man die daten aus der DB und will sie ausgeben.
>
> Angefangen von usern die html tags eingeben bishin zu "böseren" Dingen
> muss man die Ausgabe bearbeiten, sei es nun
> htmlspecialchars oder htmlentities etc. Ich bin eher ein Freund davon
> die daten vor der Ausgabe zu bearbeiten anstatt
> direkt die bereinigte version in die DB zu schreiben.

so mach ich das auch, auch aus den bereits von Yannik genannten Gründen


> Ich hab mir bis jetzt immer eine rekursive htmlentities gebaut, in die
> ich auch ein array, sprich eine ganze row stecken kann,

gebaut?

array_walk_recursive($row, 'htmlspecialchars');


> bevor ich die Daten ausgebe (Smarty vorwerfe)

{$var|escape:'html'} benutze ich da, und mach das gar nicht vorher

eben auch aus den bereits genannten Gründen: wenn ich den Wert Smarty 
übergebe weiß ja nicht (immer von vornherein) wie die Variable im 
Template verwendet wird (XML, HTML, JavaScript, ...)


-- 
Sebastian Mendel

Vorherige Nachricht: [php] Zend PDF Problem mit eingebunden Bildern
Nächste Nachricht: [php] Sicherheit, Output und htmlentities etc
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive