XHTMLforum

XHTMLforum (http://xhtmlforum.de/index.php)
-   Serveradministration und serverseitige Scripte (http://xhtmlforum.de/forumdisplay.php?f=80)
-   -   PHP-Gästebuch soll HTML-Codes akzeptieren. (http://xhtmlforum.de/showthread.php?t=43605)

::zahnfee:: 26.12.2006 22:58

PHP-Gästebuch soll HTML-Codes akzeptieren.
 
Hallo.
Vorweg:
Bin blutiger Anfänger. Bitte um Nachsicht, sollte ich umständlich formulieren.
______________________________________

Ich hab ein Gästebuch mittels PHP geschrieben, basierend auf einer einfachen Textdatei.

Es funktioniert alles soweit, ich möchte aber, daß man in den Messageteil HTML - Codes einfügen kann.

Wenn ich jetzt einen HTML Code in den Messageteil eingebe, dann schreibt sich automatisch ein Schrägstrich in die Textdatei mit rein, das sieht dann so aus:

< img src="\blabla.jpg\">

Und das funktioniert dann natürlich nicht.

Mir dünkt, ich muß in das PHP-Script noch irgendwas reinschreiben, daß dieses \ verhindert.

Die Frage ist nur: Was? Ich könnte die Antwort auf die Frage natürlich suchen gehen, aber es würde mir Zeit sparen, wenn ein Kundiger mir einen kleinen Hinweis gibt,
man dankt.

netspy 27.12.2006 02:29

Wir oft gefragt und steht deshalb auch in der FAQ: Wieso wird aus " plötzlich \" und wie geht das wieder weg?

Mario

Yhi 27.12.2006 12:35

HTML-Codes ungefiltert zulassen ist aber eine riesen Sicherheitslücke. Nimm besser BBCode, Textile oder filter die Eingaben mit z.B. kses.

Gumbo 27.12.2006 13:25

Du könntest den HTML-Code auch auf Wohlgeformtheit untersuchen und nur bestimmte Tags zulassen.

dementius 27.12.2006 18:46

HTML-Codes würde ich generell nicht zulassen.

Code:

<b style="font-size: 9999999px;">
Der IE z.B. kackt bei sowas ab ;)

X-User 27.12.2006 19:21

Einfach einen HTML-Editor wie TinyMCE nehmen und nur die Tags, die auch der Editor verwendet erlauben. Das "style"-Attribut wird auch nicht erlaubt.

Jan 28.12.2006 11:38

Zitat:

Zitat von X-User (Beitrag 319073)
Einfach einen HTML-Editor wie TinyMCE nehmen und nur die Tags, die auch der Editor verwendet erlauben. Das "style"-Attribut wird auch nicht erlaubt.

Hi!

Dies sichert dein Gästebuch aber nicht gegen Beiträge, die "böses" HTML enthalten. Wenn HTML erlaubt wird, Texte auf jeden Fall mit strip_tags filtern, um keine bösen Überraschungen zu erleben! Zudem müsste man einen Filter entwickeln, der Atributte entfernt.

Gruß
Jan

Yhi 28.12.2006 20:49

Zitat:

Zitat von Jan (Beitrag 319112)
[...]Zudem müsste man einen Filter entwickeln, der Atributte entfernt.

Wie oben schon geschrieben empfehle ich kses als XHTML Filter. Damit kann man auch nur bestimmte Attribute zulassen oder auch nicht. Selber schreiben würde ich nicht empfehlen, da es so viele Möglichkeiten zum Austricksen gibt. (siehe XSS Cheat Sheet)

::zahnfee:: 29.12.2006 14:04

Danke Leute, das füttert recht unbedarfte Anfänger wie mich schonmal mit jeder Menge wertvoller Infos.

Ihr seid echt super.

cabotine 07.02.2009 12:10

danke!


Alle Zeitangaben in WEZ +2. Es ist jetzt 21:48 Uhr.

Powered by vBulletin® Version 3.8.11 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.

© Dirk H. 2003 - 2023