kostenloser Webspace werbefrei: lima-city

XSS in Eingabe unterbinden

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

aufruf behandeln bringen code eingabe folgendes problem funktioniert http http jemand laut manual moment post problem string suche unwissenden nutzer url verschicken vorwort warnung
  1. Autor dieses Themas

    gaestefun

    Kostenloser Webspace von gaestefun

    gaestefun hat kostenlosen Webspace.

    14:16, 7.1.2010
    Hallo!
    Ich habe im moment folgendes Problem mit XSS eingaben:

    http://idarus.de/Idarus.php?Link=';alert(String.fromCharCode(88,83,83))//\';alert
    (String.fromCharCode(88,83,83))//%22;alert(String.fromCharCode(88,83,83))//\%22;
    alert(String.fromCharCode(88,83,83))//--%3E%3C/SCRIPT%3E%22%3E'%3E%3CSCRIPT%3
    Ealert(String.fromCharCode(88,83,83))%3C/SCRIPT%3E&post=Suche

    Doch mit htmlentities() kann ich dies nicht unterbinden,hat jemand eine Idee wie man so ein Problem beheben kann ?

    EDIT:
    Hier ist mein Filterungscode:
    $Vorwort = $_GET["Link"];
$keywords2 =  htmlspecialchars($Vorwort);
$keywords3 = htmlentities($keywords2);
$keywords = strip_tags($keywords3);


    Beitrag zuletzt geändert: 7.1.2010 14:33:34 von gaestefun

  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. cookies

    Kostenloser Webspace von cookies

    cookies hat kostenlosen Webspace.

    15:18, 7.1.2010
    Du meinst, du kannst das nicht unterbinden, weil das <script ... urlencodet ist?
    Versuch doch mal, es mit urldecode() zu behandeln, vor htmlspecialchars.

    LG cookies

    PS: Warum willst du das eigentlich rausfiltern?

  4. nikic

    Kostenloser Webspace von nikic, auf Homepage erstellen warten

    nikic hat kostenlosen Webspace.

    15:31, 7.1.2010
    Also, wenn ich die URL aufrufe, dann passiert nix... NoScript meldet zwar XSS, aber wenn ich die Warnung deaktiviere, kommt dennoch nichts.

    @cookies: $_GET, $_POST und $_REQUEST werden automatisch decodet. Nutzung von urldecode() kann laut Manual unerwartete Ergebnisse bringen. (Was so viel heißt wie: Eventuell als Sicherheitslücke ausnutzbar...)
  5. Autor dieses Themas

    gaestefun

    Kostenloser Webspace von gaestefun

    gaestefun hat kostenlosen Webspace.

    15:31, 7.1.2010

    Anscheinend hat es funktioniert:
    http://idarus.de/Idarus.php?Link=';alert(String.fromCharCode(88,83,83))//\';alert
    (String.fromCharCode(88,83,83))//%22;alert(String.fromCharCode(88,83,83))//\%22;
    alert(String.fromCharCode(88,83,83))//--%3E%3C/SCRIPT%3E%22%3E'%3E%3CSCRIPT%3
    Ealert(String.fromCharCode(88,83,83))%3C/SCRIPT%3E&post=Suche

    cookies schrieb:
    PS: Warum willst du das eigentlich rausfiltern?

    Aus dem Grund,dass man keine Codes an unwissenden Nutzer,über meine Seite, verschicken kann!

  6. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

lima-city bietet dir kostenlosen und werbefreien Speicherplatz für Deine Homepage. Sofort anmelden und direkt loslegen mit Webspace, PHP, Datenbanken, günstigen Domains und einer tollen Community!

Login zum Webhosting ohne Werbung!

Hast Du schon kostenlosen Webspace oder bist Du auf der Suche nach WordPress-Hosting mit Staging-Funktion und wp-cli? Jetzt günstige Prepaid Domains registrieren!