Du bist nicht angemeldet.

TNS

alter Sack, aber Chef :D

  • »TNS« ist der Autor dieses Themas

Beiträge: 4 695

Vorname: Andreas

  • Private Nachricht senden

1

Samstag, 7. August 2010, 16:36

<script filtern ...

hilöchen

Problem: usergenerierter Text incl. HTML werden in der Datenbank gespeichert - allerdings soll man natürlich nicht die Möglichkeit haben Javascripte und so Zeug zu integrieren.
Frage: was muss ich alles filtern um auch pfiffigen Spinnern diese Möglichkeit abzuwürgen

PHP-Quelltext

1
$text str_replace("<script","&lt;script",$text);


Wie kann man also <script noch eintragen (kodieren) damit ein Browser dies am Ende ausführt - also was muss ich noch alles filtern?

Andreas
Signatur von »TNS«

2

Sonntag, 8. August 2010, 13:46

Hi Andreas,

ich bin kein Fan von HTML in Datenbanken, in letzter Zeit arbeite ich gern mit Markdown, aber das hier nur am Rand.

Zum Thema nur ein kleiner aber wichtiger Hinweis: Du musst alle Event-Handler eliminieren. Es wird auch nicht so ganz simpel, die gescheit bis zum Ende zu matchen, weil dazwischen JavaScript stehen kann und das hängt die regulären Ausdrücke mal ganz locker ab.

Eine gute Lösung fällt mir da gerade gar nicht ein, außer: nur Leute HTML schreiben lassen, denen man vertrauen kann.

Sorry
Mirko :)

Ähnliche Themen