Archiv verlassen und diese Seite im Standarddesign anzeigen : javascript und php blocken...
hallo alle zusammen,
ich arbeite gerade an einem forum und suche nach einer funktion, die
in den postings ausführbaren javascript und php code blockt oder bereits
vor dem speichern in die datenbank rausschneidet.
auf kundenwunsch hin kann ich aber auch nicht alle tags einfach rausnehmen,
weil standart-html tags weiterhin funktionieren sollen.
ich danke euch für eure mühen.
freundliche grüße aus heidelberg
mirko jerschabek
ich arbeite gerade an einem forum und suche nach einer funktion, die
in den postings ausführbaren javascript und php code blockt oder bereits
vor dem speichern in die datenbank rausschneidet.RTFM: http://php.net/strip-tags
auf kundenwunsch hin kann ich aber auch nicht alle tags einfach rausnehmen,
weil standart-html tags weiterhin funktionieren sollen.Welche Art von stehen ist das? http://de.wikipedia.org/wiki/Standart
Pingu
danke für deine schnelle antwort. :-)
strip_tags habe ich schon ausprobiert.
es entfernt aber keine javascript einträge.
den rest deines postings kann ich nicht zuordnen. :-(
bis dann
du musst HTML-eigene Zeichen maskieren!
eregi_replace("<","<",$text);
eregi_replace(">",">",$text);
< wird nun durch < ersetzt und > durch >
ahja, danke,....
jetzt steht nach dem speichervorgang in meiner DB:
hallo<br /><br />test<br />test<br /><a href="javascript:alert('Hallo Welt!');">Dein Link</a>
vorher konnte man das javascript ausführen, jetzt nicht mehr.
wenn ich die postings anzeigen lasse wird alles schön so angezeigt
wie es eingegeben wurde. wenn ich das recht verstehe muss
ich nur noch vor der anzeige die erlaubten tags wieder umwandeln?
zb: <br /> --> <br />
grüße aus heidelberg
mirko
Turbohummel
17-09-2006, 06:51
Das macht HTML.Ist ja die HTML-Codierung mit dem ü
Romanday
17-09-2006, 08:41
auf kundenwunsch hin kann ich aber auch nicht alle tags einfach rausnehmen,
weil standart-html tags weiterhin funktionieren sollen.
mirko jerschabek
Also wenn ich das richtig verstanden habe, HTML ist erlaubt und darf
auch in der DB gespeichert werden.
PHP + JS sollen gelöscht werden, vor der Speicherung?
Hier mal ein paar interessante Funktionen:
http://de2.php.net/manual/de/function.get-html-translation-table.php
http://de2.php.net/manual/de/function.htmlentities.php
http://de2.php.net/manual/de/function.html-entity-decode.php
Evtl. läßt sich der JS-Code mit einer regular Expression entfernen.
z.B. <script>(.*)</script> oder ähnlich (siehe preg_replace, eregi_replace)
danke für eure hilfe,
ich habs jetzt entsprechend dem vorschlag von INGE gemacht.
vor dem speichervorgang alle < in < und > in > umwandeln
und während des seitenaufrufes,... db auslesen, nur die
erlaubte tags umwandeln, zb. <br /> in <br /> .
so werden dann alle gewünschten tags durch den browser verwertet und
die unerwünschten einfach nur angezeigt.
funktioniert super. :-)
so kann man sich eine zentrale funktion schreiben, die die erlaubten
tags zurückwandelt und kann sie entsprechend anpassen.
gruß
mirko
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.