Du bist nicht angemeldet.

Lieber Besucher, herzlich willkommen bei: WebStyleBoard. Falls dies dein erster Besuch auf dieser Seite ist, lies bitte die Hilfe durch. Dort wird dir die Bedienung dieser Seite näher erläutert. Darüber hinaus solltest du dich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutze das Registrierungsformular, um dich zu registrieren oder informiere dich ausführlich über den Registrierungsvorgang. Falls du dich bereits zu einem früheren Zeitpunkt registriert hast, kannst du dich hier anmelden.

TNS

alter Sack, aber Chef :D

  • »TNS« ist der Autor dieses Themas

Beiträge: 4 695

Vorname: Andreas

  • Private Nachricht senden

1

Samstag, 7. August 2010, 16:36

<script filtern ...

hilöchen

Problem: usergenerierter Text incl. HTML werden in der Datenbank gespeichert - allerdings soll man natürlich nicht die Möglichkeit haben Javascripte und so Zeug zu integrieren.
Frage: was muss ich alles filtern um auch pfiffigen Spinnern diese Möglichkeit abzuwürgen

PHP-Quelltext

1
$text str_replace("<script","&lt;script",$text);


Wie kann man also <script noch eintragen (kodieren) damit ein Browser dies am Ende ausführt - also was muss ich noch alles filtern?

Andreas
Signatur von »TNS«

2

Sonntag, 8. August 2010, 13:46

Hi Andreas,

ich bin kein Fan von HTML in Datenbanken, in letzter Zeit arbeite ich gern mit Markdown, aber das hier nur am Rand.

Zum Thema nur ein kleiner aber wichtiger Hinweis: Du musst alle Event-Handler eliminieren. Es wird auch nicht so ganz simpel, die gescheit bis zum Ende zu matchen, weil dazwischen JavaScript stehen kann und das hängt die regulären Ausdrücke mal ganz locker ab.

Eine gute Lösung fällt mir da gerade gar nicht ein, außer: nur Leute HTML schreiben lassen, denen man vertrauen kann.

Sorry
Mirko :)

Ähnliche Themen