AW: AW: AW: o.*pt

Thomas Berger ThB at gymel.com
Fre Mar 21 09:50:38 CET 2003


Lieber Herr Fischer,

> das ist mir alles jetzt noch nicht durchsichtig.
> 
> Ich bin daher dann dem guten Rat von Herrn Berger gefolgt
> 
> >> dann sollten Sie sie aber auch URL-Escapen.
> 
> (NB.: Ich wei? nicht, ob das sein muss, da mittlerweile ja die Codierung mittels charset angegeben werden muss; meine "unescapten" Seiten werden jedenfalls vom W3C-Validator als korrektes HTML 4.01 eingestuft.)

sowohl Header als auch die Form der URLs ist nicht HTML x.y
sondern HTTP. Und fuer URL's ist z.B. RFC 2396 zustaendig,
wo klar gesagt wird, welche Zeichen un-escaped ueberleben 
duerfen.

 
> Jedenfalls verarbeite ich die an Allegro durchgereichten Variablen, so dass keine nicht-ASCII-Buchstaben ubrigbleiben.
> Falls das fur jemanden nutzlich ist:
> 
>         $variablen =~ s/([?-y])/"%".unpack("H3",$1)/oge;
> 
> leistet das gewunschte in Perl.

Vorsicht jedoch mit Code-Injection (vgl. auch Sicherheitsprobleme
mit acwww- und phpac-Versionen von letztem Jahr): Auf diese
Art und Weise kann man Ihnen Zeilenumbrueche unterjubeln,
die Sie vermutlich nicht wollen, d.h. gewisse Hex-Kombinationen
sind gefaehrlich und muessen vorher oder hinterher vernichtet
werden.

viele Gruesse
Thomas Berger