Also wem sagt das was bzw... wer hatte das Problem schon einmal und konnte seine Seiten absichern... wäre für jeden Tip dankbar...

Es gebt speziell um Suchabfragen auf Seiten, hab das Problem erstmal mit StripTags gelöst aber ich denke mal das ist nicht unbedingt ne saubere Lösung...

also wenn jemand helfen kann... wäre ich sehr dankbar.

MFG

KeyLF

Was ist es denn?
Vielleicht kann man dann besser helfen.
lg, alex

Das heisst, du kannst Fremde Scripte auf deinem Server ausführen... z.B. wenn du in einer Suche (auch hier bei Webwork) in einer gewissen Syntax eine Url mit einem Script (z.B. JS-Datei) übergibst wird dieses dann "auf der Seite" ausgeführt.

Z.b. zum Auslesen von Userdaten etc. oder ich mach ein Fake Gewinnspiel schreib das in einen Newsletter und geb das Script mit... somit läuft alles anscheinend auf der "Vertrauenswürden Seite" aber die Daten werden ganz woanders hin übermittelt.

Hm, das sagt mir eigentlich nur was im Zusammenhang mit MySQL, wenn magic_quotes nicht aktiviert ist. Meinst du das?

---
"S-púrlawits'chkâ A-ngáse gûrewüdíx" - Zaphrot Bibelprox

Was wären die Auswirkungen wenn das aktiviert ist bzw. nicht?!

Such mal hier im Forum über die Suche, genau folgendes:

Na ja, unter bestimmten Vorraussetzungen wäre es möglich, SQL-Code auszuführen, wenn in nem Script einfach steht mysql_query("SELECT * FROM `bla` WHERE id=\"$id\"").

In deinem Fall muss man halt einfach < und > bei der Ausgabe durch die entsprechenden HTML-Entities ersetzen!?

---
"S-púrlawits'chkâ A-ngáse gûrewüdíx" - Zaphrot Bibelprox

richtig... aber ist ja auch nicht unbedingt die feinste lösung... mach das im moment so



aber ich denk mal das muss doch auch auf dem Server einstellbar sein oder?!

Nein, das muss nicht serverseitig einstellbar sein. Man muss schon selber ein bisschen aufpassen, dass man seine Scripte sicher gestalltet.

GET-Zahlen einfach abfangen und mit intval checken... für html & js gelten, korrekt, richtlinien wie strip_tags.

---
Arbeit ist das Feuer der Gestaltung. - Marx