php - Ingen html/javascript + spørgsmål - Udvikleren.dk

Tags: php

<< < 1 2 > >>

Bruger #11155 @ 11.02.08 14:55

Heeeeeeeeej alle udviklere

Har 2 spørgmål:

1) Hvilke sikkerheds strings skal jeg have for at man IKKE kan bruge HTML/Javascript, og man IKKE kan afslutte koden ved f.eks at skrive i overskriften/forum tråden:

Kode

'; mysql_query("DELETE DATABASE ...

eller sådan.. Altså, sådan så at de ting man skriver i forumtråden, slet ikke påvirker sikkerheden, så det faktisk kun er view only..? altså f.eks "addslashes()" eller sådan.. der er så mange, så jeg bliver helt forvirret,, men håber i kan hjælpe mig

.., Fordi nu, på min side, vises seneste nye forumtråd, + en title="" med hvor der står de 100 første bukstaver i tråden, men der fucker det totalt op, hvis man skriver i tråden/overskriften f.eks
/'"; <script>alert("HEEEJ");</script>.. :/

2) Hvis jeg nu GERNE vil have at man kan skrive html, sådan så man har nogle udviddet funktioner, men IKKE javascript, kan man så ikke bare lave disse php scripts?:

Kode

$msg = str_replace ('<script>', '<div style="color: red; font-weight: bold;">No Javascript</div>', $msg);
$msg = str_replace ('<script type="text/javascript">', '<div style="color: red; font-weight: bold;">No Javascript</div>', $msg);

$msg = str_replace ('</script>', '', $msg);

Det er da meget smart ikk' ? ;D

Håber i kan hjælpe mig, og forsat god vinterferie ;D

Bruger #11328 @ 11.02.08 15:00

1.323

1) Bare indsæt et <pre> eller <code> i teksten. Og brug derudover mysql_real_escape_string().

2: Jo det ser smart ud!

Bruger #11155 @ 11.02.08 15:14

1: Altså:

Kode

echo '<pre>' . $row[tekst] . '</pre>';

Sådan? Oggg, hvad så, bliver mine BBcodes så deaktiveret ? som [b ], [u ] og [i ] ?

2: Goodt.. Er der andre måder man kan starte javascript på ?

Bruger #11328 @ 11.02.08 15:27

1.323

1) Ja, det har du så måske ret i... Hm... prøv at spøge Kasper(TSW) herinde, han må vel vide..

2) ikke af hvad jeg ved af. Tjek w3.org (eller w3schools.com

Bruger #12836 @ 11.02.08 15:31

857

Hej EskiM0,

Det letteste for at disable både JavaScript, PHP og HTML er følgende:

Kode

$msg = str_replace ('<', '& lt;', $msg);
$msg = str_replace ('>', '& gt;', $msg);

Og med JavaScript, så kan man skrive id i script declarationen, så vil dit check ikke fange det, mn følgende ville:

Kode

$msg = str_replace ('<script', '& lt;script', $msg);

Med venlig hilsen
Ieet

Ps. Edited til at dette forum viser koden korrekt. Ved benyttelse skal " " imellem & tegnet oh lt samt gt fejernes. & lt samt & gt er hhv < og > tegnene skrevet så de ikke bliver parset til HTML.

Indlæg senest redigeret d. 11.02.2008 17:40 af Bruger #12836

Bruger #11155 @ 11.02.08 16:58

Hej Ieet.

Forstår ikke koderne.. Burde de ikke være:

Kode

$msg = str_replace ('<', '', $msg);
$msg = str_replace ('>', '', $msg);

// OG: //

$msg = str_replace ('<script', '', $msg);

Bruger #12836 @ 11.02.08 17:39

857

Hej EskiM0,

Det der står imellem '' er det som der bliver udskiftet til. men jeg kan godt forstå at du er forvirret, jeg retter lige så dette forum parser koden korrekt.

Med venlig hilsen
Ieet

Bruger #11328 @ 11.02.08 19:14

1.323

Nej, jeg tror at browseren så kommer til at opfatte det som tekst og ikke som kode.

Bruger #12836 @ 11.02.08 20:11

857

Hej Jakob,

Det er jo lige præcis det der er hensigten - at browseren skal opfatte det script man ikke ønsker kørt som tekst. Derved undgår man at JavaScript/PHP/HTML bliver kørt.

Med venlig hilsen
Ieet

Bruger #11328 @ 11.02.08 22:43

1.323

Ja det var også det jeg mente... fik udtrykket det forkert..

Bruger #11155 @ 12.02.08 00:55

Ohhh.. Så den udskifter (koden) < til (tekst/view only) < ?

<< < 1 2 > >>

Ingen html/javascript + spørgsmål

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler