[TYPO3-german] htmlpurifier und typo3
Wenzel Dirk
listen at arkadias.de
Mon Aug 29 12:44:50 CEST 2011
Hallo Georg,
vielen Dank für Deine schnelle Antwort.
Am 29.08.2011 um 12:25 schrieb Georg Ringer:
>> bei der Arbeit an einer Extension habe ich mir folgende Fragen gestellt:
>> 1. wie kann man Benutzereingaben in Formularen gegen Cross-Site-Scripting absichern.
>
> dazu reicht ein htmlspecialchars.
Bei meiner Recherche habe ich diese Aussage in einem alten Blogbeitrag von Dir schon einmal gelesen (http://typo3blogger.de/cross-site-scripting-xss-erfolgreich-in-aktion/). Ein Benutzer Marius kommentiert dazu:
"Es ist ein Fehler nur auf htmlspecialchars() zu setzen, und ist mit unter sogar gefährlich, da die Funktion nicht das macht, was von Ihr erwartet wird."
Leider ohne jegliche Erläuterung...
Kann jemand diese These entkräften oder untermauern?
Herzliche Grüße
Dirk
More information about the TYPO3-german
mailing list