Will mich ja nicht einmischen, aber mein Problem besteht immer noch...! ;-)

Frage: Was kommt auf der 2. Seite?

1. Seite:

<form id="kurse" action="form2.php" method="get" name="kurse">

<input type="submit" name="kurs" value="kurs1"><br>
<input type="submit" name="kurs" value="kurs2">

</form>

2. Seite:

echo <?php ????????????? ?>

Danke für euere Lösung!

Ho Gunnar,

ok, der "böse" Mensch geht auf meine Seite, hängt an der URL z.B ein bösen JavaScript code an und drückt enter. Aber dann wird doch der böse code bei ihm ausgeführt, sehe ich das richtig?
Ok, im wirklichen Leben habe ich schon eine abfrage was z.B das einfügen von fremden PHP code angeht, aber wirklich schlimm ist doch system(); und dinge die was aufm server anstellen können z.B dateien anlegen oder was auch immer.

Aber wie will ein böser denn meine Seite manipulieren das bei jedem aufruf egal von wem irgendwelchen code an der URL gehängt wird? Wie soll das gehen?

Hi,

Was für HTML-Code generiert denn das PHP-Script bei Eingabe von '"/><script type="text/javascript">alert("böser Code")</script>'?

Das Javascript, das dein Beispiel erzeugt wird ja dann nur in den HTML-Code geschrieben, der dem Client der das PHP-Script aufgerufen hat zurueckgeliefert wird.
Also kann er sich doch dadurch nur selber schaden, oder?
Und wenn er ein Script abschickt, das ihm selber schadet ist er wohl auch selber schuld.

echo $_GET['kurs'];
Gibt es eine Moeglichkeit, in diesem Beispiel irgendetwas in $_GET['kurs] zu uebergeben, dass den Server beeintraechtigen koennte und dort z.B. eine Datei anlegen wuerde.

Wenn man beispielsweise system("touch file.txt") uebergibt wird der string system("touch file.txt") nur in die HTML-Ausgabe geschrieben und nicht ausgefuehrt.

Wuerde mich interessieren, ob ich hier irgendeine Sicherheitsluecke uebersehen habe.

mfG,
steckl