Gunnar Bittersmann: Dynamische Textarea auslesen

Beitrag lesen

@@Richie:

nuqneH

<textarea name="meintext[<?php echo $id ?>]"><?php echo $meintext ?></textarea>

So weit so gut.

Nein, gar nicht gut.

Wo kommt die Werte von $id und $meintexther? Ja, aus der DB. Ich meine ursprünglich.

Kannst du 100%ig sicher sein, dass da nichts Böses drinstehen kann?

Prinzipiell sind alle Werte außerhalb deiner Kontrolle als böse anzusehen. Und müssen deshalb kontextgerecht behandelt werden. (Das ist, was Robert R. versuchte zu sagen, aber nicht konnte.)

In diesem Fall heißt das: Ein Wert wird in den HTML-Kontext gebracht und muss unschädlich gemacht werden. Insbesondere < und >, damit kein fremder JavaScript-Code eingeschleust werden kann. Dazu dient die Funktion [link:http://php.net/manual/function.htmlspecialchars.php@title=htmlspecialchars()].

Es muss heißen:
<textarea name="meintext[<?php [code lang=php]echo htmlspecialchars($id); ?>]"><?php echo htmlspecialchars($meintext); ?></textarea>
[/code]

Qapla'

--
„Talente finden Lösungen, Genies entdecken Probleme.“ (Hans Krailsheimer)