kostenloser Webspace werbefrei: lima-city


Löschen bestimmter Passagen aus einem Gästebucheintrag

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    maechte-der-elemente

    Kostenloser Webspace von maechte-der-elemente, auf Homepage erstellen warten

    maechte-der-elemente hat kostenlosen Webspace.

    Ich habe vor gar nicht Allzulangem ein kleines Problem bei meinem Gästebuch festgestellt:

    Mit Hilfe von PHP JAVA und HTML Befehlen ist es beliebig möglich, meine Seite zu beeinflussen. Wie kann ich das abstellen?

    Muss ich da was am Quellcode ändern, damit die Passagen gelöscht werden? was geht sonst noch?
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. einfach
    strip_tags($gästebucheintrag);
    damit löschst du alle html-tags aus dem eintrag

    mfg

    ps: JAVA ist NICHT javascript
  4. Autor dieses Themas

    maechte-der-elemente

    Kostenloser Webspace von maechte-der-elemente, auf Homepage erstellen warten

    maechte-der-elemente hat kostenlosen Webspace.

    syberpsace schrieb:
    ps: JAVA ist NICHT javascript


    Sorry, da wollte ich abkürzen. Das soll Javascript heißen.

    Kann ich php und Javascript noch irgendwie rausholen?
  5. Statt striptags sollte htmlspecialchars genutzt werden, um den Originaltext des Users beizuubehalten. (Villeicht will jemand nurn Codeschnippsel zeigen...). Weiterhin ist wichtig das bei der Ausgabe anzuwenden, nicht beim Speichern in die Datenbank. (Man kanns auch, aber man bekommt am Ende immer nur Probleme damit.)

    €dit: JavaScript wird durch specialchars und striptags auch entschärft. PHP sollte man im Normalfall sowie nicht ausführen können (außer du nutzt eval() oder so...) Das einzige wovor man sich noch schützen sollte sind SQL Injections. Aber das musst du bei Lima nicht, da magic_quotes an sind (passiert automatisch), besser ist natürlich aber immer alles manuell zu machen, falls man den Server wechselt ;)

    Beitrag zuletzt geändert: 23.9.2009 20:26:46 von nikic
  6. Autor dieses Themas

    maechte-der-elemente

    Kostenloser Webspace von maechte-der-elemente, auf Homepage erstellen warten

    maechte-der-elemente hat kostenlosen Webspace.

    nikic schrieb:
    Statt striptags sollte htmlspecialchars genutzt werden, um den Originaltext des Users beizuubehalten. (Villeicht will jemand nurn Codeschnippsel zeigen...). Weiterhin ist wichtig das bei der Ausgabe anzuwenden, nicht beim Speichern in die Datenbank. (Man kanns auch, aber man bekommt am Ende immer nur Probleme damit.)

    €dit: JavaScript wird durch specialchars und striptags auch entschärft. PHP sollte man im Normalfall sowie nicht ausführen können (außer du nutzt eval() oder so...) Das einzige wovor man sich noch schützen sollte sind SQL Injections. Aber das musst du bei Lima nicht, da magic_quotes an sind (passiert automatisch), besser ist natürlich aber immer alles manuell zu machen, falls man den Server wechselt ;)


    Soll das heißen, ich schreibe
    htmlspecialchars("Text, der ausgegeben werden soll")
    ?
  7. maechte-der-elemente schrieb:
    nikic schrieb:
    Statt striptags sollte htmlspecialchars genutzt werden, um den Originaltext des Users beizuubehalten. (Villeicht will jemand nurn Codeschnippsel zeigen...). Weiterhin ist wichtig das bei der Ausgabe anzuwenden, nicht beim Speichern in die Datenbank. (Man kanns auch, aber man bekommt am Ende immer nur Probleme damit.)

    €dit: JavaScript wird durch specialchars und striptags auch entschärft. PHP sollte man im Normalfall sowie nicht ausführen können (außer du nutzt eval() oder so...) Das einzige wovor man sich noch schützen sollte sind SQL Injections. Aber das musst du bei Lima nicht, da magic_quotes an sind (passiert automatisch), besser ist natürlich aber immer alles manuell zu machen, falls man den Server wechselt ;)


    Soll das heißen, ich schreibe
    htmlspecialchars("Text, der ausgegeben werden soll")
    ?

    Du schreibst: $var = htmlspecialchars($_POST['var']);


    PS: "Javascript" kürzt man "JS" ab :wink:
  8. Hallo.. nein!

    htmlspecialchars("Text, der ausgegeben werden soll") -> Text, der ausgegeben werden soll
    htmlspecialchars("<b>Text, der ausgegeben werden soll</b>") -> &lt;b&gt;Text, der ausgegeben werden soll&lt;/b&gt;

    &lt;b&gt;Text, der ausgegeben werden soll&lt;/b&gt; wird in HTML als <b>Text, der ausgegeben werden soll</b> dargestellt!

    The translations performed are:

    * '&' (ampersand) becomes '&amp;'
    * '"' (double quote) becomes '&quot;' when ENT_NOQUOTES is not set.
    * ''' (single quote) becomes '&#039;' only when ENT_QUOTES is set.
    * '<' (less than) becomes '&lt;'
    * '>' (greater than) becomes '&gt;'


    Gruß
    illuxio
  9. d************h

    also ich würde das mit der php-funktion htmlentities($str) machen! da wird der beitrag dann genauso, wie er eingegeben wurde angezeit, aber kann nicht deine seite beeinflussen, weil alle zeichen, die für die scriptsprachen erforderlich sind, um sie zu "aktivieren" oder brauchbar zu machen, ersetzt werden. die bildschirmausgabe erfolgt jedoch normal, es wird also, wenn du ">" eingibts, ">" auf dem bildschirm erscheinen, im quelltext steht aber "&gt;". das macht das ganze somit sicher!
  10. Autor dieses Themas

    maechte-der-elemente

    Kostenloser Webspace von maechte-der-elemente, auf Homepage erstellen warten

    maechte-der-elemente hat kostenlosen Webspace.

    dynamic-search schrieb:
    also ich würde das mit der php-funktion htmlentities($str) machen! da wird der beitrag dann genauso, wie er eingegeben wurde angezeit, aber kann nicht deine seite beeinflussen, weil alle zeichen, die für die scriptsprachen erforderlich sind, um sie zu "aktivieren" oder brauchbar zu machen, ersetzt werden. die bildschirmausgabe erfolgt jedoch normal, es wird also, wenn du ">" eingibts, ">" auf dem bildschirm erscheinen, im quelltext steht aber "&gt;". das macht das ganze somit sicher!


    Bremst das auch JS aus?
  11. d************h

    ja, alle scripts, die du mit html einfügen kannst, werden dann nicht mehr ausgeführt, aber trotzdem angezeigt!
  12. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!