kostenloser Webspace werbefrei: lima-city


HTML-Zeichen escapen

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    christian1603

    Kostenloser Webspace von christian1603

    christian1603 hat kostenlosen Webspace.

    Hallo,
    Ich habe auf meiner Seite ein ein Variable die jeder ändern kann.
    Das problehm ist mann kann auch html oder php ausführen wie kann ich das verhindern?
    Danke Schonmal
    LG
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Poste doch mal nen Codeschnipsel, dann kann man sich das besser vorstellen
  4. reddust schrieb: Poste doch mal nen Codeschnipsel, dann kann man sich das besser vorstellen

    Ok
    z.b hier:

    Der user hat nach seiner anmeldung ein Profiel:
    <?
    //db verbindung und auslesen
    $UserID = $data["Id"]; // userid
    
    echo"$UserID";
    ?>

    so wenn jetzt die Variable "$UserID" html beinhaltet wir er beim echo ausgeführ :-(
  5. Wenn du HTML rausfiltern willst, kannst du htmlentities() benutzen. Dann wird z.B. aus

    <b></b>

    &lt;b&gt;&lt;/b&gt;
  6. Autor dieses Themas

    christian1603

    Kostenloser Webspace von christian1603

    christian1603 hat kostenlosen Webspace.

    ok sry wollte nicht mir chatvz schreiben (ich bin chatvz)
    cookies schrieb: Wenn du HTML rausfiltern willst, kannst du htmlentities() benutzen. Dann wird z.B. aus
    &lt;b&gt;&lt;/b&gt;
    &amp;lt;b&amp;gt;&amp;lt;/b&amp;gt;

    muss ich also extra einen filter schreiben?
  7. Generell emfehle ich eh immer, alles was ein User eingibt zu escapen.
    hier mal ein Beispiel

    $vorname = htmlspecialchars(mysql_escape_string($_POST['vorname]));

    htmlspecialchars()
    mysql_escape_string()
  8. Autor dieses Themas

    christian1603

    Kostenloser Webspace von christian1603

    christian1603 hat kostenlosen Webspace.

    reddust schrieb: Generell emfehle ich eh immer, alles was ein User eingibt zu escapen. hier mal ein Beispiel
    $vorname = htmlspecialchars(mysql_escape_string($_POST['vorname]));
    htmlspecialchars() mysql_escape_string()

    soll ich das liber direckt beim eintragen in die db tuhen oder erst beim auslesen?
  9. Schon direkt beim Eintragen in die DB. Denn so brauchst du dich später nicht mehr um das excapen zu kümmern
  10. Autor dieses Themas

    christian1603

    Kostenloser Webspace von christian1603

    christian1603 hat kostenlosen Webspace.

    reddust schrieb: Schon direkt beim Eintragen in die DB. Denn so brauchst du dich später nicht mehr um das excapen zu kümmern

    ok THX für die hilfe eine frage noch
    ich habe auch get variablen:
    http://localhost/profiel.php?user=1
    $Id = htmlspecialchars(mysql_escape_string($_GET['user']));

    so wenn ich user =?> setze also so
    http://localhost/profiel.php?user=?>

    wir das als fehler angezeigt:
    Parse error: parse error in C:\xampp\htdocs\profiel.php on line 8

    und das ist line 8
    $Id = htmlspecialchars(mysql_escape_string($_GET['user']));


    kann man das ihrgent wie verhindern? aber danke für die hilfe!
  11. Poste mal bitte Zeile 7-9, ich kann mir nicht vorstellen, das dies von meinem Vorschlag kam.

    Keiner Tipp noch, wenn du eine Zahl als eingabe erwartest, dann nimm folgendes.

    $id = (int) $_GET['id']


    solltest du dann das so aufrufen
    bla.php?id=lol


    Ist das Ergebniss: 0

    Hast du ICQ oder MSN? Dann add mich mal da und dann kann ich dir schneller helfen =)

    MSN: zensiert
    ICQ: zensiert

    nikic: Keine persönlichen Daten im Forum! Nutze PNs um Kontaktinformationen weiter zu geben.

    Beitrag zuletzt geändert: 22.10.2009 22:37:09 von nikic
  12. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!