Ankündigung

Einklappen
Keine Ankündigung bisher.

HTMLPurifier richtig konfigurieren (xss etc.)

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • #16
    und überhaupt filtert es eben schon mal schön XSS-Sachen heraus.
    Geht es dir "nur" darum? Oder hat das noch andere Hintergründe (zB das du gewisses HTML erlauben willst/musst). Sonst kannst du dir das alles sparen und htmlspecialchars() nutzen, das ist ausreichend.
    The string "()()" is not palindrom but the String "())(" is.

    Debugging: Finde DEINE Fehler selbst! | Gegen Probleme beim E-Mail-Versand | Sicheres Passwort-Hashing | Includes niemals ohne __DIR__
    PHP.de Wissenssammlung | Kein Support per PN

    Kommentar


    • #17
      Zitat von Paykoman Beitrag anzeigen
      Mich wunder echt eure Überheblichkeit, denn bisher kamen nur dumme Sprüche und Verweise auf alles mögliche nur nicht dem gesuchten...
      Du hast deine Antwort doch bereits in #4 erhalten. Helfer anzupöbeln ist relativ stillos.

      Zitat von Paykoman Beitrag anzeigen
      Aber wie gesagt, jetzt habe ich eh angefangen die Liste selber zu erstellen.
      Viel Spaß dabei.
      [SIZE="1"]Atwood's Law: any application that can be written in JavaScript, will eventually be written in JavaScript.[/SIZE]

      Kommentar


      • #18
        Zitat von Paykoman Beitrag anzeigen
        Nun so kompliziert war diese Frage hier nicht. Bisher hatte ich noch anderes zu tun aber in Kürze werde ich an der Konfiguration weiter arbeiten.
        Es gibt einen ganzen Haufen an Elemente und Attribute die ich erlauben möchte, da eine Whitelist sicherer ist als eine Blacklist, wollte ich mir lediglich ein paar Stunden ersparen, denn irgendwo in dem HTMLPurifier muss ja genau solch eine Liste existieren (in string-form = "element1[attr1|attr2],element2....") die eben in der Defaultconfig geladen wird.
        Nochmal: Wenn du genau weißt, wass du zulassen willst, erstelle eine EIGENE Whitelist. Wenn du bestimmte Elemente nicht zulassen willst, erstelle eine Blacklist. Die Blacklist deaktiviert nicht die Whitelist!

        So kompliziert ist das nicht und ist auch nicht schwer zu verstehen und nachzuvollziehen.

        Mach doch direkt das was du willst, statt alles unnötig über 5 Ecken.

        Kommentar


        • #19
          Zitat von hausl Beitrag anzeigen
          strip_tags() reicht nicht?
          strip_tags() ist unzureichend, weil es nicht alles erfasst bzw. invaliden Code zulässt.

          Kommentar

          Lädt...
          X