Mailinglisten-Archive |
hi, > Es geht mir nicht um die Ausgabe, sondern darum, wie die Eingegeben Werte > aus der Form am besten kontrolliert werden! Naja, aber die Ausgabe ist ja das Problem. Wenn Du ein "böses JavaScript" in Deine MySQL-Datenbank abspeichert, tut das ja nix schlimmes. Ich würde mit strip_tags() arbeiten und selektiv Tags erlauben. Beispielsweise <script> erlaubst Du NICHT. Damit hast Du das Problem gelöst: http://www.php.net/manual/en/function.strip-tags.php Also in der Art $string = strip_tags($string, "<a><b><br><i>"); Hinweis: Hüte Dich davor den <img> Tag zu erlauben. Er erlaubt Cross-Site-Scripting, weil <img src="javascript: alert();"> Von den meisten Browsern interpretiert wird. Dangeröus! -daniel
php::bar PHP Wiki - Listenarchive