| | | | |
30.01.2011, 11:17
| |
| Benutzer Registriert seit: 11.09.2010
Beiträge: 94
PHP-Kenntnisse: Anfänger  |  HTML erlauben PHP Hallo Ich habe ein Skript, wo ein Formular ist. Und wenn man auf absenden drückt, wird der Inhalt in einer Datenbanktabelle gespeichert! Aber ich möchte, dass HTML erlaubt ist! Komplett! Aber ich möchte nicht, dass PHP erlaubt ist. Sonst könnte ja einer SQL-Injections einführen.. Beim SQL Befehl wird unter anderem $news eingetragen, die Variable sieht so aus: PHP-Code: Aber <img src="..."> klappt nicht! Was soll ich tun? ich möchte, dass alles HTML geht! Gruß |
|  |
 | |
| PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten | |
|
30.01.2011, 11:21
| |
| Erfahrener Benutzer Registriert seit: 17.01.2011
Beiträge: 171
PHP-Kenntnisse: Anfänger  | dein Teil ist Unsinn, das filtert nur HTML und PHP ist auch nicht für SQL Injektions interessant. Denk dran bei der Nutzung von HTML hast du die Gefahr von XSS. Thema SQL injecktions: http://php.net/manual/de/function.my...ape-string.php |
|
| |
|
30.01.2011, 11:24
| |
| Benutzer Registriert seit: 11.09.2010
Beiträge: 94
PHP-Kenntnisse: Anfänger | Wie kann ich es denn sonst machen, dass HTML sicher erlaubt ist? |
|
| |
|
30.01.2011, 11:34
| |
| da schreibt der ElePHPant  Registriert seit: 18.06.2008
Beiträge: 8.903
PHP-Kenntnisse: Fortgeschritten  | Gar nicht. HTML erlaubt man nicht! Wenn dann verwende BBCode. Und du solltest dich noch viel tiefer in die Materie von XSS und SQL Injection einarbeiten, sonst kann es gefährlich werden! |
|
| |
|
30.01.2011, 11:36
| |
| Erfahrener Benutzer  Registriert seit: 26.07.2010
Beiträge: 4.874
PHP-Kenntnisse: Fortgeschritten  | Ob in dem Source PHP Code drinsteht ist sowas von Hupe solange du den Code nicht durch eval() jagst. SQL-Injections verhindert man anders: durch escapen. Zwecks Crossside-Scripting-Törchen solltest du allerdings html explizit verbieten, auch zersägt dir jeglicher HTML-3rd-Party-Content zu 99% deine validität der Seite. Nutz stattdessen BBCode für User-definierte Formatierung / Layouts / Bilder-Inserts. Les dir das mal ( komplett ) durch: http://de.wikipedia.org/wiki/SQL-Injection
__________________  Lasse mir ohne Anwendung von Gewalt Dinge schenken, Amazon weiß darüber bald mehr. |
|
| |
|
30.01.2011, 20:33
| |
| moderatives Dielektrikum  Registriert seit: 21.05.2008
Beiträge: 35.987
PHP-Kenntnisse: Fortgeschritten | Was heißt „Sicher“? Du wirfst hier alles in einen Topf. SQL-Injection hat nichts mit PHP oder HTML-Syntax zu tun. Sondern eben mit SQL-Syntax. HTML-„Sicherheit“ (z.B. Vermeidung von XSS) resultiert wiederum mit Hinblick auf gefilterte Ausgabe von Inhalten. Ohne Filter ist das nicht zu erreichen, mit Filter ist das begrenzt möglich - mit eingeschränkten Möglichkeiten für userseitige HTML-Verwendung.
__________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. -- |
|
| |
 |
| Themen-Optionen | |
| Thema bewerten | |
|
|
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| HTML Codes übertragen? | Extremefall | JavaScript, Ajax und mehr | 7 | 28.01.2011 21:50 |
| Scriptsuche Daten aus HTML Tabelle A in HTML Tabelle B einfügen | headbannger83 | Scriptbörse | 1 | 10.01.2011 15:39 |
| RSS Feed Html Form zu XML | network7 | PHP Tipps 2010 | 6 | 17.11.2010 16:40 |
| Problem mit PHP Simple HTML DOM Parser | berryone | PHP-Fortgeschrittene | 2 | 30.08.2010 18:00 |
| Doppelter E-Mail versand | include21 | PHP Tipps 2010 | 3 | 06.05.2010 15:47 |
| HTML im Kontaktformular sperren? | Flo194 | PHP Tipps 2010 | 11 | 16.02.2010 21:23 |
| HTML erlauben, php nicht? | BartTheDevil89 | PHP Tipps 2007 | 4 | 22.07.2007 03:42 |
| Variable und komplette HTML Datei | chrisonline | PHP Tipps 2007 | 3 | 24.05.2007 15:30 |
| &amp;amp;lt;if&amp;amp;gt; &amp;amp;lt;/if&amp;amp;gt; in einer HTML Datei fuer Templ | PHP-Fortgeschrittene | 6 | 03.11.2005 12:05 | |
| Kontaktformular, welches auf neue html Seite führt | PHP Tipps 2005-2 | 4 | 20.07.2005 11:21 | |
| HTML Tabellenzeile in Tabelle einfügen? | Datenbanken | 2 | 28.01.2005 00:28 | |
| IMAP: Bild(er) in HTML Part richtig darstellen | PHP-Fortgeschrittene | 1 | 07.10.2004 12:21 | |
| {$varname.optelement} mit preg_match aus HTML extrahieren | PHP Tipps 2004 | 0 | 11.09.2004 04:13 | |
| Validitor (HTML 4.01) = Schwachsinn? | Filewalker | Off-Topic Diskussionen | 19 | 03.08.2004 15:27 |
| [Erledigt] PDF aus HTML erzeugen ? | PHP-Fortgeschrittene | 2 | 05.06.2004 02:10 | |
