Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
Autor |
Nachricht |
code
Anmeldungsdatum: 19.01.2005 Beiträge: 154
|
Verfasst am: 11.09.2005, 16:43 Titel: html nicht interpretieren |
|
|
Hallo
ich schreib grad an einer internet seite mit php. ich hab auch ein kleines Gästebuch gemacht. nun hab ich aber das problem, das die eingabe des users 1 zu 1 in mysql gespeichert wird. ich mir hab überlegt, das im grunde jeder user html tags in die nachricht schreiben kann. das gefällt mir ganz und gar nicht, und ausserdem ist es auch ein enormes sicherheits risiko. also meine frage ist wie ich die html-tags deaktivieren kann. (gibts ja auch in foren usw.)?
schon mal danke für die antworten |
|
Nach oben |
|
 |
Dusky_Joe

Anmeldungsdatum: 07.01.2005 Beiträge: 1007 Wohnort: Regensburg/Oberpfalz
|
Verfasst am: 11.09.2005, 16:55 Titel: |
|
|
Du könntest einfach eine Routine dazwischenschalten, die alle '<' durch < ersetzt, und alle '>' durch >
die Beiden Ausdrücke werden nämlich wieder zu < und > interpretiert.
d.h. wenn der user <b> eingibt, wird auch <b> ausgegeben, und kein fettgedruckter text.
ich weiß nur ned, wie aufwendig das ist, weil ich mit php noch nie gearbeitet hab. _________________ fully biological degradable
Once, the big wave arrives, you've got two ways, you can go:
Either, you ride it, or you don't do.
But, if you don't ride, you'll never know wether you'd have gone wet. |
|
Nach oben |
|
 |
code
Anmeldungsdatum: 19.01.2005 Beiträge: 154
|
Verfasst am: 11.09.2005, 17:05 Titel: |
|
|
danke für den tipp. das war genau das was ich gesucht hab. in php ist das ziemlich leicht zu realisieren. nur 2 zeilen mehr.  |
|
Nach oben |
|
 |
MisterD

Anmeldungsdatum: 10.09.2004 Beiträge: 3071 Wohnort: bei Darmstadt
|
Verfasst am: 12.09.2005, 13:24 Titel: |
|
|
schreib einfach mysql_escapestring(htmlspecialchars($text)), damit hast du alles was gefährlich werden könnte abgewendet. Dann kann auch keiner mehr mit einer Eingabe wie "Hallo.'); DELETE FROM gastebuch; " deine gesamten Daten löschen.. und sämtliche < und > werden nicht entfernt sondern auch ausgegeben wenn der user sowas als normalen text schreibt. _________________ "It is practically impossible to teach good programming to students that have had a prior exposure to BASIC: as potential programmers they are mentally mutilated beyond hope of regeneration."
Edsger W. Dijkstra |
|
Nach oben |
|
 |
jupi
Anmeldungsdatum: 10.09.2004 Beiträge: 35
|
|
Nach oben |
|
 |
|