Danke noch mal fuer die Antworten. ;]
So hab mal wieder einer neue Frage.
Ich habe mir ein BBcode System gebastelt was man ueber eine MySQL Datenbank erweitern kann.
Um der Sicherheit willen habe ich es so gemacht, das wenn man HTML Code ueber ein Formular eingibt wird es rausgesucht und entfernt. Was aber schlecht ist denn so kann man ja garnicht den HTML Code zum zugehoerigen BBcode eingeben.
Was kann ich machen damit die Sicherheit trotzdem weiterhin gewaehrt bleibt?
Zitat von deadcox
Du meinst, dass wenn man Codeschnipsel wie hier in einem
einfügen kann?
Dann ersetze einfach die < und > gegen die Zeichenkette < für <, und > für >.
Dann hast du sie nämlich mit den offiziellen HTML Sonderzeichen ersetzt. Sie werden dann so im HTML Dokument angezeigt.
Ein Sicherheitsloch entsteht dadurch nicht.
So, ich hab jetzt auch mal wieder eine Frage, bezüglich CSS:
Kann ich per CSS Formatierung den Broswer anweisen, Leerzeichen gar nicht auszugeben?
--Ich widerspreche der Nutzung oder Übermittlung meiner Daten für Werbezwecke oder für die Markt- und Meinungsforschung (§ 28 Absatz 3 und 4 Bundesdatenschutzgesetz).
Meines Wissens nicht.
--
Dann muesste ich ja den User dazu bringen was Kompliziertes in seinen Augen zu machen und das will ich nicht. Er soll den Code so eingeben koennen wie er das will.
Wenn ich jetzt den BBcode [ b ][ / b ] habe soll der User einfach <font style: bold></font> eingeben koennen ohne weitere umstaende.
Geändert von deadshox (10.06.2007 um 16:27 Uhr)
Oh, nein, das Ersetzen übernimmt PHP:
Hab ich jetzt nicht verstanden.
Wenn der User Text Fett formatieren macht er das doch mit einem: Und das kannst du dann ja einfach per PHP wieder in <b> umwandeln:
Alles klar?!^^
--Ich widerspreche der Nutzung oder Übermittlung meiner Daten für Werbezwecke oder für die Markt- und Meinungsforschung (§ 28 Absatz 3 und 4 Bundesdatenschutzgesetz).
Und woher soll PHP wissen, was vor und was nach dem Text kommt? Spätestens bei mehreren Tags wirds unnötig kompliziert. Und das ganze unterstützt keine Attribute. Mach das lieber mit Platzhaltern, die du dann ersetzt...
Ja, allerdings übernimmt PHP das mit htmlspecialchars().
--
Ok da liegt ein Missverstaendniss vor.bzw ich hab es mal wieder falsch erklaert.
Ich habe ein BBcode System, was man in einem Admin Panel Bearbeiten und neue BBcodes Hinzufuegen kann.
Beim Hinzufuegen gibt der User einmal den Platzhalter ein, z.b. [ b ] [ / b ] und den HTML Code <font style: bold></font>, Fertig. ;]
Das sieht schon ganz gut aus aber mir is aufgefallen das das ja auch nicht geht, waer ja auch wieder ne Sicherheitsluecke. -.-
Da entsteht doch keine Sicherheitslücke!
Der Admin muss doch tun dürfen, was er will!
Folglich kann er eigentlich auch alles ersetzten lassen, was er will!
--Ich widerspreche der Nutzung oder Übermittlung meiner Daten für Werbezwecke oder für die Markt- und Meinungsforschung (§ 28 Absatz 3 und 4 Bundesdatenschutzgesetz).
Hm wo de recht hast haste denke ich mal recht. xD
Aber ist das nicht trotzdem ne Gefahr? Kann man da nicht trotzdem von aussen drauf zugreifen?
Wie meinst du das? Es wird dann einfach der Code angezeigt.
Weiß ich auch nich, bin halt sehr vorsichtig in sowas denn mein Projekt soll nicht ne Riesige Sicherheits Luecke sein/werden.
Also, eine Sicherheitslücke kann nur entstehen, wenn ein Admin eine einbaut.
Du kannst ja vor Codes warnen, die mögliche Sicherheitslücken reproduzieren.
--Ich widerspreche der Nutzung oder Übermittlung meiner Daten für Werbezwecke oder für die Markt- und Meinungsforschung (§ 28 Absatz 3 und 4 Bundesdatenschutzgesetz).
Berechtigungen
