Re(3): Web -> Input Element (CSS FF vs IE)

Impressum | Werbung

Geizhals » Forum » Programmierung »

Web -> Input Element (CSS FF vs IE) (12 Beiträge, 211 Mal gelesen)

Top-100 | Fresh-100

Du bist nicht angemeldet. [ Login/Registrieren ]

Hi!

Firefox:

IE9

CSS:
input.text {
  width:300px;
  border:1px solid;
  padding: 0px 3px;
  margin: 3px 10px;
}

HTML:
<table>
<tr>
<td><label>Firma: </label></td>
<td><input type="text" name="firma" class="text" maxlength="<?php echo $zeichenlaenge_firma; ?>" value="<?php echo $_POST[firma]; ?>" /></td>
<td></td>
</tr>

Ich komm leider nicht drauf, wieso der Firefox Version 21 Probleme macht

Könnt ihr mir helfen

?

Danke
Frankster

Re: Web -> Input Element (CSS FF vs IE) (Frankster am 28.06.2013, 20:06:01)

Re: Web -> Input Element (CSS FF vs IE) (hellbringer am 29.06.2013, 08:27:43)

Re(2): Web -> Input Element (CSS FF vs IE) (ZombyKillah am 01.07.2013, 21:45:15)

Etwas was mich schon lange interessiert ...
was bringt htmlspecialchars() für die Sicherheit???

Der Befehl wandelt lediglich Symbole in html Zeichencodes um.

http://de.wikipedia.org/wiki/Cross-Site-Scripting

Im Gegenteil, htmlspecialchars hatte eine schwere Sicherheitslücke, welche
erst vor einen Jahr oder so behoben wurde.

Die da wäre?

Davon abgesehen hat jedes Programm und jede Programmiersprache Sicherheitslücken. Wenns nach dem geht, dürftest du nur Assembler programmieren und niemals Software dritter verwenden. Das schließt natürlich das Betriebssystem mit ein.

Außerdem sollte man die Variablen wenn dann bei der Eingabe
überprüfen/umwandeln und nicht bei der Ausgabe.

Falsch. Der Kontextwechsel findet bei der Ausgabe statt und nicht bei der Eingabe. Somit muss die Maskierung auch bei der Ausgabe stattfinden. Bei der Eingabe wäre das vollkommen fehl am Platz, weil man sich sonst zB. HTML-maskierte Zeichen in die Datenbank schreiben würde, wo sie überhaupt nichts verloren haben. In der Datenbank sollten nur die reinen Daten stehen.

Ok, die direkte Ausgabe von $_POST ist XSS anfällig ... allerdings nur, wenn
über eine andere XSS anfällige Seite aufgerufen, da der Angriff nicht einfach
über einen Link, gestartet werden kann.

Man kann ein Formular auch so darstellen, dass es aussieht wie ein Link. Und nicht jeder User schaut sich den HTML-Code der Seiten an, die er besucht.

Aus diesen Grund empfehle ich auch eine Initialisierung der Eingangs-variablen
... dabei kann man auch etwaige Warnungen abfangen, über Variablen welche man
im Skript erwartet.

Das ist die Eingangsvalidierung und wieder ein ganz anderes Thema, das nichts mit der HTML-Ausgabe zu tun hat.

Ich gebe dir Recht, dass das Beispiel schiach programmiert ist ... aber wenn
es sich nur um einen kleinen Skript handelt ist dieses auch egal.

Naja, kommt drauf an, welche Leute darauf zugreifen können. Wenn das Script öffentlich im Internet zugänglich ist, ist das schon fast eine Katastrophe. Genau an solchen plumpem Bastelscripts lassen sich dann die ganzen Script-Kiddies aus, weil der Aufwand das zu knacken ein Witz ist. Das ist ja schon fast wie eine Einladung.

Re(4): Web -> Input Element (CSS FF vs IE) (Frankster am 01.07.2013, 22:55:06)

Re(4): Web -> Input Element (CSS FF vs IE) (ZombyKillah am 01.07.2013, 23:25:09)

Re(5): Web -> Input Element (CSS FF vs IE) (hellbringer am 01.07.2013, 23:37:58)

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung