Hi Beat

schon eher-
Es maskiert Html-Spezialzeichen im HTML-Kontext und beugt damit XSS-Atacken vor.

Habe mich ein wenig eingelesen :-)

Begriff masskieren ist jetzt klar. Das ist wie bei den HTML-Entities und dem "&nbsp" für ein Leerzeichen.

XSS= Cross Site Scripting:
Nach meinem Verständnis wird hier HTML-Code in die Ausgabe der nächsten Seitenausgabe über den Umweg der Gästebuchdatei eingebaut.

Beispiel:
Im HTML-Formula z. B. <script type="text/javascript">. Das wird via cgi zum Server geschickt. Dort wird es als vermeintliches Gästebucheintrag in der Datei guest.csv abgespeichert. Beim nächsten Aufruf des Gästebuches wird dann der Gästebucheintrag mit dem Javascript-Inhalt ausgelesen und dem Client angezeigt - ggf dort als Script ausgeführt.

Wenn ich aber alle Zeichen, die der Client eingibt, genau so speichere (utf-8 Text), dann sollte doch auch der Scriptcode lediglich als Text ausgegeben werden, wenn dieser in Anführungszeichen steht und der Browserclient kommt gar nicht erst auf die Idee JS auszuführen. Oder liege ich da falsch?

Nach dem was ich gelesen habe hat das XSS keinen Einfluß auf das Perlscript bzw. auf den Server?

Es schadet, wenn überhaupt "nur" andere Busucher des Gästebuches (was natürlich auch nicht im Sinne des Erfinders liegt).

g-force