Opened by Monk at 2009-04-01 18:00
User since
2003-08-04
12208 Artikel
Admin1
![[Homepage]](/battie/theme/default/homepage.gif)
2003-08-04
12208 Artikel
Admin1
dein beispiel mal umgeschrieben mit platzhaltern, die sind IMHO auch einfach weniger schreibarbeit und line noise:
zum escapen im HTML kann ich dir nur
HTML::Template oder HTML::Template::Compiled empfehlen. Dort kann man beim erstellen des Templates den parameter default_escape => 'HTML' mit übergeben und ist dann vor so ziemlich allen XSS geschützt, fehlt dann nur noch das filtern bei sowas wie
wo dann kein "javascript:..." drinstehen darf.
Code (perl): (dl
)
1 2 3 4 5
my $sth = $dbh->prepare("INSERT INTO tbl_bsp SET bsp_artID=?, bsp_text=?") or die "Konnte Statement nicht erstellen : $DBI::errstr"; $sth->execute($sorte, $animal) or die "Konnte Statement nicht ausführen $DBI::errstr"; $sth->finish;
zum escapen im HTML kann ich dir nur
HTML::Template oder HTML::Template::Compiled empfehlen. Dort kann man beim erstellen des Templates den parameter default_escape => 'HTML' mit übergeben und ist dann vor so ziemlich allen XSS geschützt, fehlt dann nur noch das filtern bei sowas wie Code: (dl
)
<a href="$user_homepage">
wo dann kein "javascript:..." drinstehen darf.
Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
lesen:
Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
lesen:
Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem