[Global] Freiwilliges XSS mit PHP

Josef Spillner global@hostsharing.net
Mon, 2 Jan 2006 19:14:57 +0100

Previous message: [Global] Freiwilliges XSS mit PHP
Next message: [Global] Freiwilliges XSS mit PHP
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

El Lunes, 2. Enero 2006 19:00, Michael Hierweck escribi=F3:
> Sagt mal was zu den Risiken?

Die sind durchaus kalkulierbar. Die Gr=F6=DFenordnung m=F6chte der Betroffe=
ne aber=20
dann nicht wissen.

Das hat noch gar nicht mal was mit PHP zu tun, sondern mit dem ersten=20
Hauptsatz eines sicheren Systems: validiere deine Eingaben.

Wenn er remote-Daten einbinden m=F6chte, soll er sie deklarativ ausliefern =
(z.B.=20
als XML oder in einem anderen Datenformat) und dann wieder zusammenparsen,=
=20
oder aber kryptographische Methoden verwenden (mind. digitale Signatur).=20
Wobei letzteres bei dynamisch generierten Daten nat=FCrlich nicht in Frage=
=20
kommt.

Josef

Previous message: [Global] Freiwilliges XSS mit PHP
Next message: [Global] Freiwilliges XSS mit PHP
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]