| von Philipp Gérard |
| GET-Zahlen einfach abfangen und mit intval checken... für html & js gelten, korrekt, richtlinien wie strip_tags. |
| von languitar |
| Nein, das muss nicht serverseitig einstellbar sein. Man muss schon selber ein bisschen aufpassen, dass man seine Scripte sicher gestalltet. |
| von KeyLF |
richtig... aber ist ja auch nicht unbedingt die feinste lösung... mach das im moment so
1: | $search = strip_tags($search); |
aber ich denk mal das muss doch auch auf dem Server einstellbar sein oder?! |
| von Can |
Na ja, unter bestimmten Vorraussetzungen wäre es möglich, SQL-Code auszuführen, wenn in nem Script einfach steht mysql_query("SELECT * FROM `bla` WHERE id=\"$id\"").
In deinem Fall muss man halt einfach < und > bei der Ausgabe durch die entsprechenden HTML-Entities ersetzen!? |
| von KeyLF |
Was wären die Auswirkungen wenn das aktiviert ist bzw. nicht?!
Such mal hier im Forum über die Suche, genau folgendes:
1: | <script + src= http://lab.saljut.de/form.js></script> |
|
