Hallo, im Admin werden beim Kundenkommentar (Bestellung) keine Sonderzeichen angzeigt. Gehe davon aus, dass das als Schutz gegen Cross-Site-Scripting gedacht ist. Da manche Kunden z.B. Links (Urls) angeben, ist es nicht optimal. Könnte man den Filter nicht ersetzen? Wäre folgende Lösung nicht sicher genug? In ‘backend/modules/orders/main.php’, statt… preg\_replace("/[^a-z\d äÄüÜöÖß]/i", "", $orderMain["customercomment"]) das… htmlspecialchars($orderMain["customercomment"], ENT\_QUOTES, 'iso-8859-1') Danke vorab.
Anders gefragt. Kennt jemand eine Sicherheitslücke bei der Verwendung von htmlspecialchars() zur Verhinderung von Cross-site-Scripting (alle Anführungszeichen werden umgewandelt und die Zeichenkodierung ist korrekt gesetzt)?
Noch jemand eine Idee hierzu?
Hi, es geht ja hier nur um die reine Ansicht im Backend, oder? Da solltest du das so ändern können.
Hab mir halt gedacht, dass schlimmste was passieren könnte wäre, wenn ein Kunde bei der Bestellung ein Javascript über den Kommentar einschleußen könnte, dass dann beim Anzeigen des Kommentars im Backend die Session-ID des Cookies klaut. Wird der Kommentar geprüft (XSS-Filter)? Eigentlich sollte aber mit htmlspecialchars() (Beispiel oben) auch das kein Problem sein, oder? Danke vorab.
Hi, schau mal in der Pluginverwaltung nach „InputFilter“ und klicke auf editieren. Das meinst du vermutlich
1 „Gefällt mir“
Gut, der XSS-Filter ist ja per default aktiviert. Dann werde ich mal die Lösung mir htmlspecialchars() einbauen. Danke !!