SEO and Web Security since 2006
![Cross Site Scripting trotz htmlentities() [UPDATE]](https://www.erich-kachel.de/wp-content/themes/hueman/img/thumb-medium.png)
PHP / Sicherheit / sseq-lib
· von Erich Kachel · 24 Sep., 2008
Die PHP-Funktion htmlentities() soll vor Cross Site Scripting Angriffen schützen, denn sie kodiert Zeichen wie „„, sowie auch doppelte und einfache Anführungszeichen in deren HTML-Code-Entsprechung um. Dass allerdings die Kodierung der Anführungszeichen explizit eingeschaltet werden muss kann wohl als Designschwäche...
blind patch / PHP / Sicherheit / sseq-lib
· von Erich Kachel · 16 Sep., 2008
Verwendet man für die eigenen Projekte oder für seine Kunden fremde Open- oder Closed-Source – PHP-Websoftware, so wird man irgendwann mit Sicherheitsmeldungen konfrontiert werden, die diese eingesetzte Software betreffen. Jetzt können folgende Szenarien eintreten: Doppelt Glück: der Entdecker der Schwachstelle...
PHP / Schwachstellenanalyse / Sicherheit
· von Erich Kachel · 14 Sep., 2008
Den vollständigen 1. Teil des Dokumentes unter Creative Common-Lizenz als PDF-Datei herunterladen: Analyse und Maßnahmen gegen Sicherheitsschwachstellen bei der Implementierung von Webanwendungen in PHP/MySQL (Teil 1) Eine „Session“ ist eine Arbeitssitzung mit einer Software. Webanwendungen basieren auf dem HTTP-Protokoll, welches...
PHP / Sicherheit / sseq-lib
· von Erich Kachel · 11 Sep., 2008
Stefan Esser, dessen Arbeit ich mit Interesse verfolge, hilft, Sicherheitsschwachstellen in PHP zu entdecken und zu beheben. Darüberhinaus entwickelt er einen PHP-Patch mit Namen Suhosin, der den PHP-Code selbst von bekannten Schwachstellen befreien soll. Stefan kommentiert in seinem Blog die...
PHP / Schwachstellenanalyse / Sicherheit / sseq-lib
· von Erich Kachel · 5 Sep., 2008
Den vollständigen 1. Teil des Dokumentes unter Creative Common-Lizenz als PDF-Datei herunterladen: Analyse und Maßnahmen gegen Sicherheitsschwachstellen bei der Implementierung von Webanwendungen in PHP/MySQL (Teil 1) Zu den eher unbeachteten Sicherheitsschwachstellen in PHP gehört die Mail-Header-Injection. Sie zeigt sich, wenn...
PHP / Sicherheit / sseq-lib
· von Erich Kachel · 2 Sep., 2008
Der Microsoft Internet Explorer 8 ist in eine Beta-Version bereits verfügbar und bringt einige Neuerungen mit, unter anderem einen XSS (Cross Site Scripting)-Filter. Außer der Tatsache, dass der Filter nicht alle im Umlauf befindlichen XSS-Angriffe abwehren können wird, was den...
PHP / Schwachstellenanalyse / Sicherheit
· von Erich Kachel · 30 Aug., 2008
Den vollständigen 1. Teil des Dokumentes unter Creative Common-Lizenz als PDF-Datei herunterladen: Analyse und Maßnahmen gegen Sicherheitsschwachstellen bei der Implementierung von Webanwendungen in PHP/MySQL (Teil 1) SQL-Injection-Angriffe beschreiben das Injizieren von SQL-Code [Wika] in eine Anwendung, sodass dieser von der...
PHP / Schwachstellenanalyse / Sicherheit
· von Erich Kachel · 24 Aug., 2008
Den vollständigen 1. Teil des Dokumentes unter Creative Common-Lizenz als PDF-Datei herunterladen: Analyse und Maßnahmen gegen Sicherheitsschwachstellen bei der Implementierung von Webanwendungen in PHP/MySQL (Teil 1) Cross Site Scripting beschreibt das Ausführen von Skriptbefehlen über unterschiedliche Webseiten hinweg. Praktisch bedeutet...
· von Erich Kachel · 19 Aug., 2008
Hier wird gezeigt wie der Inhalt einer MySQL-Tabelle aufgelistet wird, und wie dazu automatisch Links zum Vor- und Zurückblättern eingebaut werden. Gehen wir von einer besonders langen MySQL-Tabelle "albums" aus. Wir legen pro Seite maximal 5 Datensätze fest. Unsere Beispieltabelle...
· von Erich Kachel · 19 Aug., 2008
Funktion: QB_ARRAY2RADIO Beispiele: Erstellt ein Radiobuttonset mit dem Namen "geschlecht" und der Auswahl "männlich, weiblich": Erstellt ein Radiobuttonset mit der Auswahl "männlich, weiblich" und wählt ‚weiblich‘ aus: