JavaScripts!

      JavaScripts!

      Es liegt ein schwerwiegender Bug/Sicherheitslücke vor:

      Und zwar ist es möglich in den Zeilen Name, Email und Homepage JavaScript-Code einzutragen, der dann ausgeführt wird (<script language=...>)..


      Eine Abhilfe würde schaffen, wenn der Badword-Filter auch auf diese drei Felder ausgedehnt werden würde und man so wörter wie Javascript, script, language, &lt;, &gt; etc. zensieren lassen könnte.


      Das Gästebuch finde ich eigentlich gut, allerdings ist so eine Sicherheitslücke unzumutbar.


      Gruß,
      Lobi
      ups, das ist echt n sicherheitsloch, ist mir noch gar nicht aufgefallen.
      sollte allerdings durch n paar zeilen php schnell gestopft sein.

      als workaround könnte man evtl. ein eigenes template machen und auf der (eigenen) formularseite ein javascript die eingaben beim abschicken überprüfen lassen.

      ist zwar auch aushebelbar, aber besser als nix.