können html entitys eine gefahr sein?
-
wenn ich ein neuen tag einführer &; der z.b. aus & & macht so das der user ein & sieht, welche gefahren entstehen dadurch?
-
[e]amp;<tag severity="very evil" effect="desastrous">&[/e]
-
auch wenn die funktion so aussieht?
function entity($code) { return '&'.htmlspecialchars($code).';'; }
-
Außer dass eben evtl. üngültige Entities rauskommen sehe ich da eigentlich kein Sicherheitsproblem
-
return '&'.htmlspecialchars($code).';';Ist das & und das ; dann nicht doppelt?
-
nö, $code wär ja in dem Moment z.B. "amp", also das was zwischen den E-tags stand.
-
Ach so, ich dachte $code wäre das Sonderzeichen!