Aus Sicherheitsgründen können Sie folgende Zeichen hier nicht verwenden: #<>()\=

**Zille** · 04.02.2022, 16:21

Beim Versuch des Absenden eines Kontaktformulares erscheint die Fehlermeldung: Aus Sicherheitsgründen können Sie folgende Zeichen hier nicht verwenden: #<>()\=

Eine Klammer und ein Gleichheitszeichen wird zum Sicherheitsrisiko? Ist das ein schlechter Witz oder wieder mal eine Rechtschreibreform?

Wo kann man das Anpassen, damit die normale deutsche Interpunktion weiterhin benutzbar bleibt?

Feldtyp: Textarea
Feldname: message
Eingabeprüfung: erweiterte alphanumerische Zeichen

**Spooky** · 04.02.2022, 16:25

Einfach keine Eingabeprüfung?

Oder auf was genau möchtest du denn prüfen?

**Zille** · 04.02.2022, 16:34

Ja klar, logisch: Wenn man nicht prüft, gibt’s auch kein Risiko. Gilt das auch bei Corona?!

Im Ernst, ich wäre nicht im Leben darauf gekommen, dass man sich ein Risiko durch normale Zeichen der Interpunktion einbauen könnte. Sei es drum, dann wird eben nicht geprüft.

Dennoch würde ich gern wissen, wie diese Zeichen die Sicherheit beeinflussen können.

**Spooky** · 04.02.2022, 16:38

Zitat von Zille

Im Ernst, ich wäre nicht im Leben darauf gekommen, dass man sich ein Risiko durch normale Zeichen der Interpunktion einbauen könnte. Sei es drum, dann wird eben nicht geprüft.

Dennoch würde ich gern wissen, wie diese Zeichen die Sicherheit beeinflussen können.

Ich verstehe nicht was du meinst. Du musst die für deinen Anwendungsfall passende Prüfung auswählen. Mit Sicherheit haben die Überprüfungen nichts (direkt) zu tun.

**Zille** · 04.02.2022, 16:51

Für normalen Text erscheint mir die Auswahl »erweiterte alphanumerische Zeichen« am geeignetsten, damit man sich umfassend mit der deutschen Schriftsprache austoben kann. Ich erwarte eben nicht, dass ausgerechnet dies ein eingeschränkter Zeichensatz ist, der einige Zeichen verbietet.
Da fehlt mir (noch) das Verständnis. Aber vielleicht sind ja Klammern und Gleichheitszeichen Teile einer Geheimsprache für (Verschwörungs-)Programmierer?

So, un nu bin ich neugierig geworden und will’s wissen.

**Spooky** · 04.02.2022, 16:54

Zitat von Zille

Für normalen Text erscheint mir die Auswahl »erweiterte alphanumerische Zeichen« am geeignetsten

Warum erscheint dir das am geeignetsten? Wie du gesehen hast ist das ja viel zu eingeschränkt.

**Zille** · 04.02.2022, 17:05

Zitat von Spooky

Warum erscheint dir das am geeignetsten?

Weil es ein ERWEITERTER Zeichensatz ist?!

Zitat von Spooky

Wie du gesehen hast ist das ja viel zu eingeschränkt.

Weshalb schränkt das, was man als ERWEITERUNG bezeichnet, hingegen vollkommen unlogisch ein? Soll man zukünftig »nein« sagen, wenn man eigentlich »ja« meint? Mir wird gerade mein Weltbild zerstört – hatte ich doch tatsächlich geglaubt, dass InformationsTECHNIK noch nicht von Querdenkern unterwandert ist.

**Spooky** · 04.02.2022, 17:09

Zitat von Zille

Weil es ein ERWEITERTER Zeichensatz ist?!

Ja, aber woher beziehst du deine informationen, was alles in diesem erweiterten Zeichensatz erlaubt ist? Also auf Basis welcher Informationen hast du dich dafür entschieden, diese Prüfung zu aktivieren? Du musst doch vorher nachgeschlagen haben (bspw. im Handbuch oder direkt im Backend), was dieser erweiterte Zeichensatz überhaupt ist. Allerdings wunderst du dich darüber, dass gewisse Zeichen mit dieser Prüfung nicht erlaubt sind.

**Spooky** · 04.02.2022, 17:11

Moderation: dein Verhalten und deine Wortwahl in diesem Thread ist nicht besonders freundlich. Bitte überdenke das, ansonsten macht es nicht viel Sinn diesen Thread noch weiter fort zu führen.

**Zille** · 04.02.2022, 17:39

Zitat von Spooky

Du musst doch vorher nachgeschlagen haben …

Nein. Denn man kann nach allgemeinem Verständnis darauf vertrauen, dass das, was mit der deutschen Sprache ausgedrückt wird, auch genauso gemeint ist. Doch wenn unter Erweiterung = Einschränkung verstanden werden soll … Aber gut, wesentlich ist doch wohl

Weshalb schließt man diese Zeichen aus (da muss es doch einen nachvollziehbaren Grund geben)?
Welchen Schäden sind (bei nicht sachgerechter Verwendung) zu erwarten?

**Spooky** · 04.02.2022, 17:57

Zitat von Zille

Nein. Denn man kann nach allgemeinem Verständnis Doch wenn unter Erweiterung = Einschränkung verstanden werden soll

Alphanumerisch ist wie folgt definiert: https://en.wikipedia.org/wiki/Alphanumericals
"Erweitert" heißt: zu den alphanumerischen Zeichen sind noch zusätzliche Zeichen erlaubt. Das Wort "erweitert" hat in diesem Kontext aber darüberhinaus keine Definition, welche Zeichen das im Genauen sind, daher musst du nachlesen, welche das sind.

Zitat von Zille

Welchen Schäden sind (bei nicht sachgerechter Verwendung) zu erwarten?

Das kann dir niemand beantworten, da nur du weißt, wie du die Daten weiterverarbeiten lässt. Du entscheidest ja, welche Eingabeprüfung erfolgen soll aufgrund der Anforderungen an die einzugebenen Daten und deren Weiterverarbeitung. Angenommen du hast ein Feld für Postleitzahlen und das Zielsystem, das die Daten weiterverarbeitet, erwartet nur Zahlen für dieses Feld erwartet, dann aktivierst du hier die entsprechende Eingabeprüfung.

**mlweb** · 04.02.2022, 18:06

Zitat von Zille

Nein. Denn man kann nach allgemeinem Verständnis darauf vertrauen, dass das, was mit der deutschen Sprache ausgedrückt wird, auch genauso gemeint ist. Doch wenn unter Erweiterung = Einschränkung verstanden werden soll

Man darf auch die Dokumentation lesen. Dort steht eindeutig was darunter zu verstehen ist https://docs.contao.org/manual/de/fo...lder/#textfeld.
M.E. hat die Beschreibung einer Eingabeprüfung für ein Formularfeld nicht zwangsweise etwas damit zu tun "was in der deutschen Sprache ausgedrückt wird". Was versteht die deutsche Sprache eigentlich nach Deiner Meinung unter "erweitert".

***lucina*** · 05.02.2022, 07:25

Zitat von Zille

Weshalb schließt man diese Zeichen aus (da muss es doch einen nachvollziehbaren Grund geben)?
Welchen Schäden sind (bei nicht sachgerechter Verwendung) zu erwarten?

Weil #<>()\= Zeichen sind, mit denen man beispielsweise prima SQL-Injections bauen kann, mit Backslashes Verzeichnisse nach oben springen oder Steuerzeichen escapen kann, mit < PHP-Befehle basteln kann, mit # Parameter einschleusen kann. So etwas möchte man weder im CMS noch in einer Anwendung, die das weiterverarbeiten soll. Man möchte auch nichts, aus dem man eine Cross-Site-Scripting-Angriff bauen kann.

Wenn Du mal auf Excel schaust, bei dem Befehle mit einer Raute beginnen, dann hast Du eine Idee davon, was man da machen kann. Wenn Du Daten in einer SQL-Applikation weiterverarbeitest, dann möchtest Du eher auch nicht, dass da jemand per Webform Deine Anwendung ungefragt fernsteuert.

Grundsätzlich bewegen wir uns hier dann übrigens auch in einem Bereich, in dem Alltagssprache und Fachsprache divergieren. Ich finde, das darf man sich dann auch mal anlesen.