WYSIWYG-Editor für Forum verwenden, sicher?
lima-city → Forum → Die eigene Homepage → Homepage Allgemein
ankern
ankommen
ausgeben
datum
design
editor
ehe
filtern
folgenden editor
forum
funktion
http
idee
layout
links listen
schweigen
tip
url
verwenden
wecken
-
hi!
wie der titel schon sagt, habe ich mir überlegt, für mein forum nicht den überallverwendeten bb-code zu verwenden, sondern normales html. ich würde dann folgenden editor nehmen: http://dynamic-designs.lima-city.de/phphtmledit/
die frage ist nur, welche funktionen müsste ich ausschalten, das es zu 100% sicher ist?
grüße, dynamic-designs -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
sebulon schrieb: hm, layer... weiß nicht, ob das so eine gute Idee ist
sag mal, Scripts scheint er auch nciht auszuführen, kann das sein?
oder kann ich blos nciht mal mehr ein einfaches alert ausgeben?
in dem editor kannst du nur html verwenden. javascript sollte sowieso nicht sein!
außerdem geht es hier nicht um die funktionsweise des editors sondern darum, ob es überhaupt sicher ist, so etwas in einem forum zu verwenden! -
Der sollte sicher sein. Einfach immer die neueste Version des Editors benutzen. Deaktivieren würde ich allerdings Anker, Flash usw.
telelo -
Es kommt ja nicht auf den Editor an sondern auf die PHP-Datei, die den Inhalt des Editors dann empfängt und verarbeitet. Generell solltest du dir ehe überlegen was du zuässt anstatt was du nicht zulässt. Also Whitelist statt Blacklist. Ich persönlich würde nur Schriftformatierungen, also i u strong und ähnliches, Links, Listen und vielleicht noch Bilder zulassen. Filtern musst du aufjeden Fall: div, body, script und alles andere was das Layout verändern kann. Mehrere </div>'s haben schon manches Layout zerstört, und ein </body> ist meistens auch nicht Nett. Von <script> ganz zu schweigen. Du musst beachten, dass man der Seite auch POST/GET Daten übergeben kann, ohne das man das dafür vorgesehene Formular nützt, deswegen hilft es nicht einfach Fuktionen im Editor zu Deaktivieren.
lg -
stimmt, so hab ich das noch nicht gesehen!
also, du meinst, das ich die "schädlichen" tags einfach entferne, beziehungsweise das "<" und das ">" durch ">" und "<" (oder andersrum) ersetze? das müsste ja reichen, nur sieht das dann womöglich schei*beep* aus. gibt es nicht ne php-funktion die automatisch tags entfernt? -
Das sieht dann nicht blöd aus, denn dann steht da: "</div>". Wenn einer es drauf ankommen lassen will und das schreibt, wird es auch ausgegeben.
&GreaterThen; = ">"
&LowerThen; = "<"
dynamic-designs schrieb:
Gibt es nicht ne php-funktion die automatisch tags entfernt?
Das müsste eigentlich deinen Programmiererinstinkt wecken, das selbst zu schreiben (Tipp: verwende "split").
Beitrag zuletzt geändert: 7.9.2009 19:07:05 von toolz -
toolz schrieb:
&GreaterThen; = ">"
&LowerThen; = "<"
wenn ich bei sowas die php-funktion "htmlentities()" verwende, geht das doch nicht! da würde das doch so aussehen:
&GreaterThen; = ">"
&LowerThen; = "<" -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
