 |
Medlem
|
|
Reg.datum: Jun 2004
Inlägg: 168
|
|
|
Medlem
Reg.datum: Jun 2004
Inlägg: 168
|
Att låta folk peta in html är _INTE_ bra nån stans...
Visst, kör str_replace() mot <script>, men vad gör du när folk leker in:
flashfiler
skriver <marquee> och fular?
Lägger en iframe till raus.de/crashme
Lägger in bakgrundsmusik på sidan
onclick, onmouseover, onfocus osv....
meta-refresh
Det är nog en bra idé att spärra all användning av html och sedan filtrera igenom vissa taggar...
|