beatovich: GET Felder prüfen gegen XSS (PHP)

Beitrag lesen

hallo

Hallo,

ich möchte gerne meine Suche absichern. Ich bekomme via GET oder POST den Prammeter s. Grundsätzlich ist in der Suche erstma alles zulässig.

Was den Einsatz von htmlspecialchars() in der Suche erschwert. Was nutzt Ihr alternativ zu strip_tags um die Inputfelder zu prüfen?

Danke

Einen text nach

<script>alert('hallo')</script>

zu durchsuchen, ist kein Problem.

durchsuche ich mit index(), ist keine Massnahme notwendig.

durchsuche ich mit einer regulären Expression, ist /\Q$searchstring\E/ anzuwenden.

Unerfreuliches passiert erst, wenn du diesen Suchstring in deinem HTML unescaped einsetzt und an den Browser sendest.