Gästebuch: Verhindern von Skripts

[ContainerDriver]

Hallo,
ich hab mir ein Gästebuch gebastelt. Beim Eintragen kann man auch HTML verwenden, um die Einträge ein bisschen aufzupäppeln. Dummerweise kann man auch JavaScript-Skripte programmieren und die werden auch ausgeführt. Wenn man nun eine Funktion mit einer Eindlosschleife mit einem alert() innendrinnen hat und das ganze im body-Tag bei onload aufruft kann man die Seite eigentlich vergessen (du musst den Browser killen ->und das ist ziemlich schei).

Jetzt meine Frage: Gibt es in PHP die Möglichkeit HTML-Code von Skripten zu befreien? Bei der Fülle von Funktionen müsste es doch auch so was geben! (wenn nicht muss ich mir es wohl selbst programmieren).

schon mal vielen Dank für die Antwort

MfG

Florian

[Gaert]

Klar gibts da was!
Allerdings nicht um deinen HTML Code von Skripten zu befreien, sondern um deine Gästebucheinträge von (interpretierbarem) HTML Code zu befreien.
Der Effekt ist derselbe - mit dem Unterschied, dass du damit gleichzeitig auch noch HTML Tags verbietest.

--> http://php.net/htmlentities

[-Sensemann-]

das gilt auch für PHP-Scripts?

[Gaert]

Original geschrieben von -Sensemann-
das gilt auch für PHP-Scripts?

Was meinst du damit?

[samsara]

Mach's doch ganz hart: wirf alle posts weg, die den string "<script" enthalten!

Samsara

[Duke]

Ne was Gaert sagt ma htmlentities ist schon korrekt und die einzig wahre Lösung

[ContainerDriver]

mmmmh, die HTML-Tags solle eigentlich schon interpretiert werden, eben nur keine Skripts!

Hab jetzt aber schon was gefunden:

strip_tags(STRING,ERLAUBTE_TAGS)

!

Das funktioniert sehr gut: Ich geb einfach die Tags an, die erlaubt sind (-> bei mir nur die, die zur Formatierung dienen).

Trotzdem vielen Dank

MfG

Florian

[Woolf]

wieso nicht einfach

$text = htmlspecialchars($text);
oder html_specialchars, wie auch immer =)

oder
$text = ereg_replace("<?", "na na na, nich frech werden", $text);

[-Sensemann-]

@ Gaert,

zb include funktion in der Index.php

dann kann doch jemand php scripte einfügen und darüber den account hacken?

hattest mir ja ein beispiel im anderen thread gegeben.

[Gaert]

Nein, sensemann - da kann nichts passieren!
Da müsstest du schon den code den einer postet mit eval() ausführen.

[samsara]

Also ich verstehe nicht, warum Du jemanden, der Dir ein Skript unterschieben will, auch noch in Dein Gaestebuch schreiben lassen willst. Das fuehrt doch zu nix!

*gruebel*

Samsara

[Duke]

Na ja von wollen kann man hier glaube ich net sprechen aber es gibt halt immer Idioten und auf sein Gästebuch verzichten möchte man ja wohl net verzichten

[-Sensemann-]

öh Leute?

es geht um das verhindern!

[samsara]

Original geschrieben von Duke
Na ja von wollen kann man hier glaube ich net sprechen aber es gibt halt immer Idioten und auf sein Gästebuch verzichten möchte man ja wohl net verzichten

Joh, aber ich sagte doch, einfach alle Eintraege, die auf den String "<script" passen, wegwerfen. Dann hast Du immer noch Dein Gaestebuch, aber boese Buben duerfen nicht reinschreiben.

Gruss,

Samsara

[amiga]

wieso willst du HTML erlauben ?

Da kommt dann zum Beispiel einer an und benutzt einen <font> -tag in HTML 4.01 Strict, und schon ist es nicht mehr w3 konform. oder einer schreibt z.B. ein paar wilde kombinationen von <td> <tr> <table> </tr> </td> und vermasselt das layout der Seite. Windows User werden sich auch aergern, wenn ein boeser Bube irgendwelche ActiveX-Objekte in den Beitrag einfuegt.

Also wenn man dem User die Moeglichkeit geben will, seinen Eintrag etwas aufzupeppeln, sollte man BB-Code zulassen, aber HTML sollte man generell verbieten.