Die Übergabe von einem html-Editor auf Sicherheit überprüfen

BartTheDevil89 · 10.05.2007, 23:21

Hallo.....
also es gibt doch die sogenannten WYSIAG-Editoren(oder wie die heißen), mit denen man über einen Onlineeditor komplette Pages erstellen kann und die dann den passenden html-Code für ausliefern.
Ich habe jetzt so einen eingebaut und dieser Übergibt ja eine Variable mit dem html-Code an mich. Diese Variable möchte ich aber jetzt noch sicherheitstechnisch überprüfen.
Gibts da irgendwie Ideen, auf was und wie ich das am besten überprüfe? Denn es soll zwar html, script-Codes drin sein, allerdings natürlich kein php, etc.......

KingCrunch · 10.05.2007, 23:24

Wovon genau redest du? Die mir bekannten Editoren speichern direkt in HTML und da is nix mit Variablen ^^ Zumal ich bei solchen Editoren die Seite selber baue und ich dann eigentlich weiß, was da drin is. Was wird denn nun wovon, wie an wen übergeben?

BartTheDevil89 · 10.05.2007, 23:56

Zitat:

Zitat von KingCrunch

Wovon genau redest du? Die mir bekannten Editoren speichern direkt in HTML und da is nix mit Variablen ^^ Zumal ich bei solchen Editoren die Seite selber baue und ich dann eigentlich weiß, was da drin is. Was wird denn nun wovon, wie an wen übergeben?

Jaja, die speichern ja direkt in html....also der Editor erstellt nen html-Code und dann kann ich auf absenden klicken und er übergibt mir diesen html-Code in einer Variable(also wie ein Formular) und den kann ich dann zum Beispiel in der Datenbank abspeichern.

KingCrunch · 11.05.2007, 00:31

Ich versteh dich weiterhin nicht:

Zitat:

Was wird denn nun wovon, wie an wen übergeben?

Wie gesagt: Wenn ich so ein Editor verwende, wird da überhaupt nix versendet, sondern ich habe dann irgendwo auf meiner Festplatte eine (idR) HTML-Datei rumfliegen. Es wäre also nett, wenn du mir zumindest mitteilen könntest, um was genau es eigentlich geht

BartTheDevil89 · 11.05.2007, 00:52

Zitat:

Zitat von KingCrunch

Ich versteh dich weiterhin nicht:

Zitat:

Was wird denn nun wovon, wie an wen übergeben?

Wie gesagt: Wenn ich so ein Editor verwende, wird da überhaupt nix versendet, sondern ich habe dann irgendwo auf meiner Festplatte eine (idR) HTML-Datei rumfliegen. Es wäre also nett, wenn du mir zumindest mitteilen könntest, um was genau es eigentlich geht

Ja genau.......aber eben nicht auf deiner Platte, sondern das ganze läuft online ab:

http://www.online-html-editor.de/

In dem oben genannten Beispiel kann man ja den Code als Datei abspeichern, aber bei mir ist es so, dass ich es in einer Datenbank abspeichere. Und bevor ich das in der Datenbank abspeichere, muss ich eben überprüfen, ob irgendwie php-Code, etc. mit eingegeben wurde über den html-modus. Denn wenn php-Code drinwäre, ich den dann aus der Datenbank abfrage und irgendwo include, zeigt er mir ja den php-Code an, also muss ich den php-Code schon beim erstellen der Seite ja rausziehen und das will ich eben direkt nach dem erstellen durch den Editor machen.

KingCrunch · 11.05.2007, 01:16

Achso ^^ Na, sowas musste scho dazu sagen

Na, wenn er den Code nur anzeigt, is doch halb wild. Ansonsten kannste auf öffnende PHP-Tags (meist <?php) prüfen und den dann entfernen, bzw ein Fehler ausgeben.

nikosch · 11.05.2007, 04:23

Es gibt normalerweise keinen Grund, eine html Datei irgendwo per include einzubinden. Dynamische Elemente kannst Du per Platzhalter-Parsing einfügen, deshalb reicht Einlesen mit file_get_contents (). Bei Direktaufruf solltest Du den Server so konfigurieren, dass nur php Dateien interpretiert werden.
Achtung ist lediglich auf Javascript zu legen, auch damit kann man jede Menge Schindluder treiben: Ajax, Weiterleitungen, Session und Cookie Manipulation

WYSIWYG meint übrigens What You See IS What You Get

BartTheDevil89 · 11.05.2007, 08:03

Zitat:

Zitat von KingCrunch

Achso ^^ Na, sowas musste scho dazu sagen

Na, wenn er den Code nur anzeigt, is doch halb wild. Ansonsten kannste auf öffnende PHP-Tags (meist <?php) prüfen und den dann entfernen, bzw ein Fehler ausgeben.

Ja, genau das meine ich, dass man eben auf sowas prüft. Und die Frage ist eben, auf was ihr mir ratet alles zu prüfen und wie ich das dann am besten mache, da es ja von deinem beispiel zum beispiel einige Varianten gibt <? <?php

Danke

dr.e. · 11.05.2007, 12:51

Hallo BartTheDevil89,

wenn du auf JAVA-Script prüfen möchtest, kannst du nach "<script" suchen. Im Grunde musst du dir nur die unterschiedlichen Bereiche, die du filtern möchtest ansehen und die Syntax analysieren. Suche dort nach sehr häufig auftretenden Schlüsselwörtern und filter danach. Man könnte auch per soundex() bzw. levenshtein() nach ähnlich klingenden Wörtern suchen.

KingCrunch · 11.05.2007, 13:14

@Bart: Es gibt verschiedene, das stimmt, aber sie sind endlich

3 oder? Ich benutze nur eine, deshalb hab ich die anderen net im Kopf. Denk aber daran, dass der schließende Tag in bestimmten Situationen auch fehlen kann.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Validitor (HTML 4.01) = Schwachsinn?	Filewalker	Off-Topic Diskussionen	19	03.08.2004 15:27

10.05.2007, 23:21
BartTheDevil89 Erfahrener Benutzer Registriert seit: 09.05.2005 Beiträge: 561	Die Übergabe von einem html-Editor auf Sicherheit überprüfen Hallo..... also es gibt doch die sogenannten WYSIAG-Editoren(oder wie die heißen), mit denen man über einen Onlineeditor komplette Pages erstellen kann und die dann den passenden html-Code für ausliefern. Ich habe jetzt so einen eingebaut und dieser Übergibt ja eine Variable mit dem html-Code an mich. Diese Variable möchte ich aber jetzt noch sicherheitstechnisch überprüfen. Gibts da irgendwie Ideen, auf was und wie ich das am besten überprüfe? Denn es soll zwar html, script-Codes drin sein, allerdings natürlich kein php, etc.......


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

10.05.2007, 23:24
KingCrunch Erfahrener Benutzer Registriert seit: 13.08.2007 Beiträge: 1.976	Wovon genau redest du? Die mir bekannten Editoren speichern direkt in HTML und da is nix mit Variablen ^^ Zumal ich bei solchen Editoren die Seite selber baue und ich dann eigentlich weiß, was da drin is. Was wird denn nun wovon, wie an wen übergeben? __________________ Nicht jeder Fehler ist ein Bug.

11.05.2007, 01:16
KingCrunch Erfahrener Benutzer Registriert seit: 13.08.2007 Beiträge: 1.976	Achso ^^ Na, sowas musste scho dazu sagen Na, wenn er den Code nur anzeigt, is doch halb wild. Ansonsten kannste auf öffnende PHP-Tags (meist <?php) prüfen und den dann entfernen, bzw ein Fehler ausgeben. __________________ Nicht jeder Fehler ist ein Bug.

11.05.2007, 04:23
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Es gibt normalerweise keinen Grund, eine html Datei irgendwo per include einzubinden. Dynamische Elemente kannst Du per Platzhalter-Parsing einfügen, deshalb reicht Einlesen mit file_get_contents (). Bei Direktaufruf solltest Du den Server so konfigurieren, dass nur php Dateien interpretiert werden. Achtung ist lediglich auf Javascript zu legen, auch damit kann man jede Menge Schindluder treiben: Ajax, Weiterleitungen, Session und Cookie Manipulation WYSIWYG meint übrigens What You See IS What You Get

11.05.2007, 12:51
dr.e. Moderator und Wett-König Registriert seit: 21.05.2008 Beiträge: 3.657 PHP-Kenntnisse: Fortgeschritten	Hallo BartTheDevil89, wenn du auf JAVA-Script prüfen möchtest, kannst du nach "<script" suchen. Im Grunde musst du dir nur die unterschiedlichen Bereiche, die du filtern möchtest ansehen und die Syntax analysieren. Suche dort nach sehr häufig auftretenden Schlüsselwörtern und filter danach. Man könnte auch per soundex() bzw. levenshtein() nach ähnlich klingenden Wörtern suchen. __________________ Viele Grüße, Dr.E. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 1. Think about software design before you start to write code! 2. Discuss and review it together with experts! 3. Choose good tools (-> Adventure PHP Framework (APF))! 4. Write clean and reusable software only! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

11.05.2007, 13:14
KingCrunch Erfahrener Benutzer Registriert seit: 13.08.2007 Beiträge: 1.976	@Bart: Es gibt verschiedene, das stimmt, aber sie sind endlich 3 oder? Ich benutze nur eine, deshalb hab ich die anderen net im Kopf. Denk aber daran, dass der schließende Tag in bestimmten Situationen auch fehlen kann. __________________ Nicht jeder Fehler ist ein Bug.