HTML-Zeichen escapen
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
angezeigt code
auslese
beispiel
benutzen
code
dank
eingabe
eintragen
filter
folgendes code
hilfe
http
manual
string
tip
url
variablen code
verhindern
vorname
vorstellen
-
Hallo,
Ich habe auf meiner Seite ein ein Variable die jeder ändern kann.
Das problehm ist mann kann auch html oder php ausführen wie kann ich das verhindern?
Danke Schonmal
LG -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
reddust schrieb: Poste doch mal nen Codeschnipsel, dann kann man sich das besser vorstellen
Ok
z.b hier:
Der user hat nach seiner anmeldung ein Profiel:
<? //db verbindung und auslesen $UserID = $data["Id"]; // userid echo"$UserID"; ?>
so wenn jetzt die Variable "$UserID" html beinhaltet wir er beim echo ausgeführ
-
ok sry wollte nicht mir chatvz schreiben (ich bin chatvz)
cookies schrieb: Wenn du HTML rausfiltern willst, kannst du htmlentities() benutzen. Dann wird z.B. aus
<b></b>
&lt;b&gt;&lt;/b&gt;
muss ich also extra einen filter schreiben? -
Generell emfehle ich eh immer, alles was ein User eingibt zu escapen.
hier mal ein Beispiel
$vorname = htmlspecialchars(mysql_escape_string($_POST['vorname]));
htmlspecialchars()
mysql_escape_string() -
reddust schrieb: Generell emfehle ich eh immer, alles was ein User eingibt zu escapen. hier mal ein Beispiel
htmlspecialchars() mysql_escape_string()$vorname = htmlspecialchars(mysql_escape_string($_POST['vorname]));
soll ich das liber direckt beim eintragen in die db tuhen oder erst beim auslesen? -
Schon direkt beim Eintragen in die DB. Denn so brauchst du dich später nicht mehr um das excapen zu kümmern
-
reddust schrieb: Schon direkt beim Eintragen in die DB. Denn so brauchst du dich später nicht mehr um das excapen zu kümmern
ok THX für die hilfe eine frage noch
ich habe auch get variablen:
http://localhost/profiel.php?user=1 $Id = htmlspecialchars(mysql_escape_string($_GET['user']));
so wenn ich user =?> setze also so
http://localhost/profiel.php?user=?>
wir das als fehler angezeigt:
Parse error: parse error in C:\xampp\htdocs\profiel.php on line 8
und das ist line 8
$Id = htmlspecialchars(mysql_escape_string($_GET['user']));
kann man das ihrgent wie verhindern? aber danke für die hilfe! -
Poste mal bitte Zeile 7-9, ich kann mir nicht vorstellen, das dies von meinem Vorschlag kam.
Keiner Tipp noch, wenn du eine Zahl als eingabe erwartest, dann nimm folgendes.
$id = (int) $_GET['id']
solltest du dann das so aufrufenbla.php?id=lol
Ist das Ergebniss: 0
Hast du ICQ oder MSN? Dann add mich mal da und dann kann ich dir schneller helfen =)
MSN: zensiert
ICQ: zensiert
nikic: Keine persönlichen Daten im Forum! Nutze PNs um Kontaktinformationen weiter zu geben.
Beitrag zuletzt geändert: 22.10.2009 22:37:09 von nikic -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage