Zitat Zitat von Jesus_666
Man kann's natürlich immer noch wieder einschalten, es iat aber besser, wenn man die Skripte einfach so schreibt, daß man's nicht braucht.
Bei manchen Sachen (z.B. Forum) ist eine Variablen-Übergabe durch die URL fast notwendig. Man kann natürlich auch alles in versteckte Formularfelder schreiben und so übergeben. Das ist allerdings recht unschön. Und solange man den Inhalt einer mit $_GET erhaltenen Variable nicht einfach ausgibt, geht's eigentlich. Durch leichtfertiges Ausgeben entstehen ja eigentlich erst die XSS-Schwachstellen.
Als Beispiel, dieser Cross-Site-Skripting-Link zu Lucleonhart, der die Var-Ausgabe mittels JS ausnutzt: http://www.lucleonhart.de/test.php?v...;%3C/SCRIPT%3E

freundliche Grüße, Rolus