htmlspecialchars()

[lokoroko]

Hallo,

htmlspecialchars() wird ja genutzt um sich vor verschiedensten Dingen zu schützen (MySQL Injection, Javascript, etc. ).

Wenn ich das ganze testen möchte und in ein Eingabefeld einen Javascript-Code einfüge der dann in der Datenbank abgespeichert wird, wie müsste das ganze dann in der Datenbank abgespeichert werden um den Code zu entkräften ? Kennt vielleicht jemand einen Link oder ähnliches bei dem man das beispielhaft sehen könnte ?

 

[Gelöschtes Mitglied 36401]

htmlspecialchars() wird ja genutzt um sich vor verschiedensten Dingen zu schützen (MySQL Injection, Javascript, etc. ).

Falsch, htmlspecialchars dient dazu, in der Ausgabe Konvertierungen des HTML-Codes durchzuführen. Was du wohl meinst ist mysqli_real_escape_string

Simples Beispiel:

<?php

   $var = '<script>
            alert("Hallo Welt");
           </script>';
          
   echo htmlspecialchars($var);
  
   echo $var;
?>

 

[lokoroko]

Das bedeutet dann also nicht das ich einen ggf. gefährlichen Code durch Konvertierung ungefährlich mache ?
Ist es nicht so das ich durch diese Konvertierung Sonderzeichen wie " oder & in einem Code unschädlich machen kann ?

 

[Gelöschtes Mitglied 36401]

Ja, aber nur in der Ausgabe, nicht beim Speichern in die DB, dazu nimmst du zB. mysqli_real_escape_string

 

[jappi00]

Bezüglich xss würde ich mir https://www.owasp.org/index.php/Cross-site_Scripting_(XSS) mal durchlesen.