Du bist nicht angemeldet.

<script filtern ...

TNS

alter Sack, aber Chef :D

  • »TNS« ist der Autor dieses Themas

Beiträge: 4 678

Vorname: Andreas

  • Private Nachricht senden

1

Samstag, 7. August 2010, 16:36

<script filtern ...

hilöchen

Problem: usergenerierter Text incl. HTML werden in der Datenbank gespeichert - allerdings soll man natürlich nicht die Möglichkeit haben Javascripte und so Zeug zu integrieren.
Frage: was muss ich alles filtern um auch pfiffigen Spinnern diese Möglichkeit abzuwürgen

PHP-Quelltext

 
1

$text str_replace("<script","&lt;script",$text);


Wie kann man also <script noch eintragen (kodieren) damit ein Browser dies am Ende ausführt - also was muss ich noch alles filtern?

Andreas
Signatur von »TNS«

memowe

Erleuchteter

Beiträge: 3 324

Vorname: Mirko

  • Private Nachricht senden

2

Sonntag, 8. August 2010, 13:46

Hi Andreas,

ich bin kein Fan von HTML in Datenbanken, in letzter Zeit arbeite ich gern mit Markdown, aber das hier nur am Rand.

Zum Thema nur ein kleiner aber wichtiger Hinweis: Du musst alle Event-Handler eliminieren. Es wird auch nicht so ganz simpel, die gescheit bis zum Ende zu matchen, weil dazwischen JavaScript stehen kann und das hängt die regulären Ausdrücke mal ganz locker ab.

Eine gute Lösung fällt mir da gerade gar nicht ein, außer: nur Leute HTML schreiben lassen, denen man vertrauen kann.

Sorry
Mirko :)
Signatur von »memowe« Mirko Westermeier - Public key: 0x730E195D
Key fingerprint = 55A8 9646 9B58 60AC B5BC 9661 FDD4 93C0 730E 195D

Ähnliche Themen

Lesezeichen: