Mantra: Gute Klasse die HTML Input absichert?

Hi Forumler,

ich suche nach einer guten Klasse die mir HTML Code der durch ein Formular oder der generell von aussen kommt absichert o. entfernt.

Bei Google finde ich irgendwie nichts, wahrscheinlich suche ich einfach nach den falschen Schlagworten.

Hat hier vielleicht jemand einen Tipp was aktuell genutzt wird um sich gegen HTML Injection abzusichern, ausser strip_tags.

Danke für jeden Tipp!
Martin ...

  1. echo $begrüßung;

    ich suche nach einer guten Klasse die mir HTML Code der durch ein Formular oder der generell von aussen kommt absichert o. entfernt.

    Dazu braucht man keine Klasse. Generell gilt: Maskiere die Daten kontextgerecht. Jeder Kontext, in dem Daten und Befehlsbestandteile gemischt übertragen werden, hat Regeln, um die Daten von den Befehlsbestandteilen zu unterscheiden. Beispielsweise in HTML > für >, in MySQL ' statt ' usw.

    Hat hier vielleicht jemand einen Tipp was aktuell genutzt wird um sich gegen HTML Injection abzusichern, ausser strip_tags.

    strip_tags() ist nicht sonderlich intelligent. Das nimmt manchmal mehr weg als es soll. htmlspecialchars() reicht im Allgmeinen aus, um die Daten für den HTML-Kontext abzusichern. (Im Speziellen muss nur aufgepasst werden, wenn man Attributwerte in ' statt " einrahmt.)

    echo "$verabschiedung $name";

    1. Hi,

      strip_tags() ist nicht sonderlich intelligent. Das nimmt manchmal mehr weg als es soll.

      Manchmal auch weniger - insbesondere falls sich hier einige Poster mit ihrer Meinung durchsetzen sollten, Script- und CSS-Code sei heutzutage nicht mehr auszukommentieren. *SCNR*

      Gruß, Cybaer

      --
      Hinweis an Fragesteller: Fremde haben ihre Freizeit geopfert, um Dir zu helfen. Helfe Du auch im Archiv Suchenden: Beende deinen Thread mit einem "Hat geholfen" oder "Hat nicht geholfen"!