Ankündigung

Einklappen
Keine Ankündigung bisher.

PHP/Javascript verbieten

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • PHP/Javascript verbieten

    Hallo,

    ich habe ein Skript mit einer textarea Box nun möchte ich dem User bzw der Überprüfung erlauben HTML Tags zu benutzen aber kein Schadcode wie <?php, <? , <script und alles was nicht mit HTML zutun hat. Eine Ausnahme bei HTML ist dem user soll er verboten werden </textarea> zu benutzen da er ja sonst vorzeitig das Formular bzw die Box closed

    Ich habe bereits gesucht und das einzigste was ich gefunden habe ist strip_tags() aber in meinen Augen nicht benutzbar in meinem Fall da es für HTML gedacht ist.


  • #2
    Eine Ausnahme bei HTML ist dem user soll er verboten werden </textarea> zu benutzen da er ja sonst vorzeitig das Formular bzw die Box closed
    Nein, das ist falsch. Dann hast Du vergessen, den Inhalt zu escapen.
    --

    „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
    Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


    --

    Kommentar


    • #3
      Könntest mir kurz erklären was du damit meinst?

      Kommentar


      • #4
        Was Escaping ist, liest Du bitte selbst nach. Textareas erlauben keine HTML-Elemente als Inhalt (gar keine!!). Deshalb musst Du nicht nur </textarea> verhindern, sondern alle Tags escapen. Stichwort PCDATA.

        SELFHTML: HTML/XHTML / Referenz /HTML-Elementreferenz
        --

        „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
        Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


        --

        Kommentar


        • #5
          Ich habe TINYMCE daher speichert er auch HTML Tags in die Datenbank wie <b> ect. ohne Editor hab ich es noch nicht probiert.

          //Edit Ohne Editor kann ich auch HTML Tags abspeichern daher weiß ich nicht ganz was du meinst

          Kommentar


          • #6
            Meinst DU nicht, das wäre ein wichtige Info gewesen? TINYMCE und Co benuzten überhaupt keine Textarea.
            --

            „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
            Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


            --

            Kommentar


            • #7
              Mag sein nur ich habe ja die Funtkion editor on/off und bei beidem kann ich HTML verwenden

              Kommentar


              • #8
                TINYMCE benutzt bereits zur Formatierung des WYSIWYG-Inhalts HTML. Ergo wirst DU da problemlos Tags reinschreiben können.
                --

                „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
                Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


                --

                Kommentar


                • #9
                  Ja aber bei dem normalen Textfeld ohne TINYMCE kann ich ebenfalls Tags reinschreiben hier der derzeitige Inhalt wie er auch in die Datenbank gespeichert wird textarea kann HTML nicht darstellen das ist klar aber man kann die Tags eingeben und absenden und eine Funktion schreibt diese wie bei mir in eine Datenbank und dann kann man die Daten auslesen und normal mit echo ausgeben so das dann HTML erkannt und angewandt wird. Das meine ich

                  Ich möchte halt das Javascript PHP & </textarea> nicht erlaubt ist und alles was sonst noch deiner/eurer Meinung nach gefährlich ist.

                  Kommentar


                  • #10
                    Inhalt derzeit von der Datenbank
                    Code:
                    Content Test und test aller funktionen.............// <b>Test</b> <font size="7">Test</font>

                    Kommentar


                    • #11
                      Nochmal: </textarea> abzufangen ist Unsinn.

                      Zudem: Dann darfst Du nicht den TINY benutzen, der nimmt nunmal HTML zur Formatierung. Ergo kannst Du im Klartexteditor auch HTML eingeben.

                      „Gefährlich“ liegt im Auge des Betrachters. Wenn ich ein Stylesheet mit einer Schriftgröße von 5000 angebe, ist das auch nicht gerade schön.
                      --

                      „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
                      Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


                      --

                      Kommentar


                      • #12
                        Um kurz mal darzulegen wie das ganze später funktionieren soll:

                        Zugriff auf die Datei haben Admin und vom Admin ausgewählte User mit dem entsprechenden Recht die Seite aufzurufen. Sprich der Admin selber wird wohl kaum seine eigen Seite versuchen zu hacken ^^ Nun bleibt aber der User der die Rechte hat und evt dem Admin schaden will indem er seine Rechte missbraucht und irgendwas einschleust und genau das will ich verhindern.

                        Und was die Schriftgröße angeht ist es egal da wenn sowas vorfällt habe ich eine kleine Log gebaut wer zuletzt was verändert hat(ergo Admin entzieht dem User Rechte und fertig)

                        Kommentar


                        • #13
                          Was willst Du dann? Definiere unsicher. Ich bezweifle aber stark, dass man alle „schlimmen“ Fälle mit einer Blacklist abgefangen bekommt. Was wird denn überhaupt editiert?
                          --

                          „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
                          Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


                          --

                          Kommentar


                          • #14
                            ich will eigentlich nur verhindern das man PHP einbauen kann das ist eigentlich so das gröbste

                            Kommentar


                            • #15
                              Man kann PHP nicht einbauen, wenn der Inhalt aus der DB kommt. Es sei denn, Du benutzt irgebndwie include oder eval.
                              --

                              „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
                              Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


                              --

                              Kommentar

                              Lädt...
                              X