html eingabe unterbinden

$$$ ThiKool $$$ · 18.07.2007, 02:08

hi,

ich hab folgendes Prolbem

Meine User können unter Usertext einen Text eingeben. Ein user hat aber einen Metatag reingeschrieben der direkt auf seine HP umleitet.

Ausgegeben wird der Usertext ganz gewöhnlich mit echo.

Wie kann man am sinvollsten die ausgaben von html verhindern?

KingCrunch · 18.07.2007, 02:19

je nachdem, was dein Anspruch von "am Sinvollsten" ist.

Am einfachsten wäre die Verwendung von html_entity_decode. Da wird dann im Zweifelsfall einfach knall hart dessen angezeigt, aber nix ausgeführt.

Zergling-new · 18.07.2007, 02:31

Um das Problem zu umgehen gibt es BBCode. Vorher werden alle <Tags> mittels
http://de.php.net/strip_tags
entfernt, danach erst läuft der BBCode-Parser drüber und ersetzt zahnlose [b] durch [b]. Wenn der Tag nicht erkannt wird, bleibt er stehen. Da es sich um [eckige] Klammern und nicht um <spitze> Klammern handelt, hat er keine Extra-Funktionalität mehr in der dargestellten HTML-Seite.

Problem gelöst.

nikosch · 18.07.2007, 03:11

Ansonsten ist htmlentities() zu empfehlen, nicht html_entity_decode() wie fälschlicherweise von Crunch empfohlen (denn dann bräuchte der Angreifer ja nur <script> etc. schreiben)

Igäl · 18.07.2007, 09:43

Jeglicher DB-Insert wird bei mir mit folgender Funktion in die DB eingetragen:

PHP-Code:

      public static function db_insert_data($table, $cols, $data, $encapse = TRUE)    {

        if($encapse)    {

            $data = htmlspecialchars($data);

        }

        $sql = "INSERT INTO ".$table." (".$cols.") VALUES (".$data.");";

        $query = @mysql_query($sql)

            or die(Mysql::report_error("Insert: ".mysql_error()."\nQuery: ".$sql));

        return(!$query ? false : true);

    }

Schaus dir mal an und les hier mal rein:

http://de.php.net/manual/de/function...ecialchars.php
http://de.php.net/manual/de/function.htmlentities.php

KingCrunch · 18.07.2007, 11:18

Zitat:

Zitat von nikosch77

Ansonsten ist htmlentities() zu empfehlen, nicht html_entity_decode() wie fälschlicherweise von Crunch empfohlen (denn dann bräuchte der Angreifer ja nur <script> etc. schreiben)

Stimmt, war falschrum ^^

Zergling-new · 18.07.2007, 11:26

Zitat:

return(!$query ? false : true);

Ist übrigens für einen INSERT das selbe wie

Code:

return $query

Ich würde trotzdem

Code:

return $query and mysql_affected_rows() == 1

verwenden.

Igäl · 18.07.2007, 11:50

Wie meinst du das mit "and"? Und was hab ich hier davon, wenn ich vergleiche ob die betroffenen Datensätze == 1 sind? Versteh das grad net

webbi · 19.07.2007, 17:46

Er würde nur true zurückgeben wenn $query true ist und von der mysql_query nur eine Zeile in der Datenbank betroffen ist.

Hoffe ich habs richtig verstanden...

$$$ ThiKool $$$ · 19.07.2007, 23:19

Hmm Danke erstmal für euere Zahlreichen Antworten.

Ich möchte aber, das der Text zwar angezeigt wird also das test ausgegeben wird, test aber nicht fett geschrieben wird also die funktion nicht ausgeführt wird

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] HTML Mail mit Lücken mitten in den Worten, wie kommt das?	DeeFour	PHP-Fortgeschrittene	2	29.05.2008 15:47
Variable und komplette HTML Datei	chrisonline	PHP Tipps 2007	3	24.05.2007 15:30
&amp;amp;lt;if&amp;amp;gt; &amp;amp;lt;/if&amp;amp;gt; in einer HTML Datei fuer Templ		PHP-Fortgeschrittene	6	03.11.2005 12:05
html 4.01	lindner	HTML, Usability und Barrierefreiheit	23	06.08.2005 22:08
Kontaktformular, welches auf neue html Seite führt		PHP Tipps 2005-2	4	20.07.2005 11:21
HTML unterbinden	Freeaak	PHP Tipps 2005	4	21.04.2005 20:25
Kommentare - HTML unterbinden	patr1k	PHP Tipps 2005	4	17.04.2005 16:04
Ausgabe unterbinden		PHP Tipps 2005	3	12.04.2005 16:08
HTML Tabellenzeile in Tabelle einfügen?		Datenbanken	2	28.01.2005 00:28
[Erledigt] html mit mail versenden		PHP-Fortgeschrittene	0	27.01.2005 19:53
IMAP: Bild(er) in HTML Part richtig darstellen		PHP-Fortgeschrittene	1	07.10.2004 12:21
{$varname.optelement} mit preg_match aus HTML extrahieren		PHP Tipps 2004	0	11.09.2004 04:13
Unterschied HTML und PHP		PHP Tipps 2004	4	28.08.2004 19:02
Validitor (HTML 4.01) = Schwachsinn?	Filewalker	Off-Topic Diskussionen	19	03.08.2004 15:27
[Erledigt] PDF aus HTML erzeugen ?		PHP-Fortgeschrittene	2	05.06.2004 02:10

18.07.2007, 02:08
$$$ ThiKool $$$ Erfahrener Benutzer Registriert seit: 29.03.2004 Beiträge: 332	html eingabe unterbinden hi, ich hab folgendes Prolbem Meine User können unter Usertext einen Text eingeben. Ein user hat aber einen Metatag reingeschrieben der direkt auf seine HP umleitet. Ausgegeben wird der Usertext ganz gewöhnlich mit echo. Wie kann man am sinvollsten die ausgaben von html verhindern?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

18.07.2007, 02:19
KingCrunch Erfahrener Benutzer Registriert seit: 13.08.2007 Beiträge: 1.976	je nachdem, was dein Anspruch von "am Sinvollsten" ist. Am einfachsten wäre die Verwendung von html_entity_decode. Da wird dann im Zweifelsfall einfach knall hart dessen angezeigt, aber nix ausgeführt. __________________ Nicht jeder Fehler ist ein Bug.

18.07.2007, 02:31
Zergling-new Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 9.937	Um das Problem zu umgehen gibt es BBCode. Vorher werden alle <Tags> mittels http://de.php.net/strip_tags entfernt, danach erst läuft der BBCode-Parser drüber und ersetzt zahnlose [b] durch [b]. Wenn der Tag nicht erkannt wird, bleibt er stehen. Da es sich um [eckige] Klammern und nicht um <spitze> Klammern handelt, hat er keine Extra-Funktionalität mehr in der dargestellten HTML-Seite. Problem gelöst.

18.07.2007, 03:11
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Ansonsten ist htmlentities() zu empfehlen, nicht html_entity_decode() wie fälschlicherweise von Crunch empfohlen (denn dann bräuchte der Angreifer ja nur <script> etc. schreiben)

18.07.2007, 09:43
Igäl Erfahrener Benutzer Registriert seit: 16.08.2007 Beiträge: 702 PHP-Kenntnisse: Anfänger	Jeglicher DB-Insert wird bei mir mit folgender Funktion in die DB eingetragen: PHP-Code: public static function db_insert_data($table, $cols, $data, $encapse = TRUE) { if($encapse) { $data = htmlspecialchars($data); } $sql = "INSERT INTO ".$table." (".$cols.") VALUES (".$data.");"; $query = @mysql_query($sql) or die(Mysql::report_error("Insert: ".mysql_error()."\nQuery: ".$sql)); return(!$query ? false : true); } Schaus dir mal an und les hier mal rein: http://de.php.net/manual/de/function...ecialchars.php http://de.php.net/manual/de/function.htmlentities.php

18.07.2007, 11:50
Igäl Erfahrener Benutzer Registriert seit: 16.08.2007 Beiträge: 702 PHP-Kenntnisse: Anfänger	Wie meinst du das mit "and"? Und was hab ich hier davon, wenn ich vergleiche ob die betroffenen Datensätze == 1 sind? Versteh das grad net

19.07.2007, 17:46
webbi Erfahrener Benutzer Registriert seit: 09.03.2005 Beiträge: 219	Er würde nur true zurückgeben wenn $query true ist und von der mysql_query nur eine Zeile in der Datenbank betroffen ist. Hoffe ich habs richtig verstanden...

19.07.2007, 23:19
$$$ ThiKool $$$ Erfahrener Benutzer Registriert seit: 29.03.2004 Beiträge: 332	Hmm Danke erstmal für euere Zahlreichen Antworten. Ich möchte aber, das der Text zwar angezeigt wird also das test ausgegeben wird, test aber nicht fett geschrieben wird also die funktion nicht ausgeführt wird