nicht angemeldet
Beide Funktionen ersetzten gewisse HTML-Sonderzeichen in ihre maskierte Form, htmlspecialchars() macht aus < <, > >, & &, " ". htmlentities() ersetzt sogar diverse Sonderzeichen wie Umlaute. Schau mal hier vorbei: http://www.php.net/manual/de/function.htmlspecialchars.php, http://www.php.net/manual/de/function.htmlentities.php
Danke, ich habe es mir angeschaut. Ich verstehe erhrlich gesagt nicht, warum und wo ich den Sourcecode verändern soll. Ich habe in meinem Sourcecode keinerlei Sonderzeichen (CSS & PHP-Sprachdatei)
Nun, wenn der Text aus der Datenbank wird direkt ins textarea eingefügt, das heißt, wenn ich irgendwie Folgendes in die Datenbank als Artikel einfügen kann, wirst du bei jedem Bearbeiten dieses Artikels freundlich begrüßt:
[..]
Auf diese Weise kann ich aber auch Popus öffnen, diverse Sicherheitslücken von Browsern ausnutzen, Cookie-Daten stehlen, ...
Wenn die Datenbank nicht bewusst öffentlich, also kein Forum oder ähnliches ist und nur in einer Backend-lösung eingebaut wird, ist die Gefahr dann auch vorhanden ? Der DB Zugriff wird durch Berechtigungen (IP-Raum,Passwörter und SSL) geschützt.
Gruß, Robert
Danke für die Infos ! :)
ciao
ExeCRabLE