welche html tags für user verbieten

klausbyte

Bekanntes Gesicht
Mitglied seit
22.03.2001
Beiträge
3.898
Reaktionspunkte
204
welche html tags für user verbieten

also ich code im moment an nem community ding, dazu verwend ich nen wysiwyg editor (open source) der halt html code abliefert und man kann auch direkt html code schreiben.

dann muss ich halt mit php filtern, welche tags ich raus hauen muss.
da hab ich noch net so viel erfahrung, da ich halt sonst entweder alles oder garnix raus gemacht hab, und jetz ist die frage, womit man alles schaden könnte.

mit <script> auf jeden fall.
 
I

ich98

Gast
AW: welche html tags für user verbieten

klausbyte am 02.04.2007 12:13 schrieb:
also ich code im moment an nem community ding, dazu verwend ich nen wysiwyg editor (open source) der halt html code abliefert und man kann auch direkt html code schreiben.

dann muss ich halt mit php filtern, welche tags ich raus hauen muss.
da hab ich noch net so viel erfahrung, da ich halt sonst entweder alles oder garnix raus gemacht hab, und jetz ist die frage, womit man alles schaden könnte.

mit <script> auf jeden fall.

<iframe>
<body>
die ganzen Kopfdaten-Tags
 

marky68

Bekanntes Gesicht
Mitglied seit
17.04.2001
Beiträge
413
Reaktionspunkte
0
AW: welche html tags für user verbieten

die eventhandler-attribute (onClick etc.)
 

Worrel

Bekanntes Gesicht
Mitglied seit
22.03.2001
Beiträge
22.549
Reaktionspunkte
8.700
AW: welche html tags für user verbieten

Am sichersten wäre es wohl, wenn du's andersrum machst: Nur die definieren, die zugelassen sein sollen. Das wären dann ja nur die übliche Handvoll (fett, kursiv ...)

Machbar wäre das dann folgendermassen:
Den Postingstring nach den zugelassenen Tags durchsuchen und für die Fundstellen die TagKlammern ändern (zB < b > => [ b ] ) und dann alle noch vorhandenen <>-Tags entfernen.
 
TE
K

klausbyte

Bekanntes Gesicht
Mitglied seit
22.03.2001
Beiträge
3.898
Reaktionspunkte
204
AW: welche html tags für user verbieten

Worrel am 02.04.2007 12:38 schrieb:
Am sichersten wäre es wohl, wenn du's andersrum machst: Nur die definieren, die zugelassen sein sollen. Das wären dann ja nur die übliche Handvoll (fett, kursiv ...)

Machbar wäre das dann folgendermassen:
Den Postingstring nach den zugelassenen Tags durchsuchen und für die Fundstellen die TagKlammern ändern (zB < b > => [ b ] ) und dann alle noch vorhandenen <>-Tags entfernen.
hm das ist wohl nicht so leicht möglich.
den der editor ist halt wirklich wysiwyg und arbeitet mit div's und allem möglichen, was ich dann unter umständen garnicht mehr so zurückparsen kann.
 

Worrel

Bekanntes Gesicht
Mitglied seit
22.03.2001
Beiträge
22.549
Reaktionspunkte
8.700
AW: welche html tags für user verbieten

klausbyte am 02.04.2007 13:30 schrieb:
Worrel am 02.04.2007 12:38 schrieb:
Am sichersten wäre es wohl, wenn du's andersrum machst: Nur die definieren, die zugelassen sein sollen. Das wären dann ja nur die übliche Handvoll (fett, kursiv ...)

Machbar wäre das dann folgendermassen:
Den Postingstring nach den zugelassenen Tags durchsuchen und für die Fundstellen die TagKlammern ändern (zB < b > => [ b ] ) und dann alle noch vorhandenen <>-Tags entfernen.
hm das ist wohl nicht so leicht möglich.
den der editor ist halt wirklich wysiwyg und arbeitet mit div's und allem möglichen, was ich dann unter umständen garnicht mehr so zurückparsen kann.
Sobald du php verwendest, kannst du das doch eh nicht mehr im wysiwyg Editor machen ... ?
Das ist genauso leicht oder schwer, wie explizit alle "gefährlichen" Tags rauszufiltern - bloß nicht so umfangreich.

Ob du <div> Tags auf der Seite hast, interessiert in diesem Zusammenhang nicht im geringsten - es soll ja lediglich der Postingtext gefiltert werden, nicht der komplette Quellcode der Seite.
 
S

skicu

Gast
AW: welche html tags für user verbieten

klausbyte am 02.04.2007 13:30 schrieb:
hm das ist wohl nicht so leicht möglich.
den der editor ist halt wirklich wysiwyg und arbeitet mit div's und allem möglichen, was ich dann unter umständen garnicht mehr so zurückparsen kann.
Ich würde trotzdem alles außer erlaubten Tags rausschmeißen.

Schau dir einfach an, was der Editor theoretisch alles ausspucken kann - das wird dann erlaubt.

Mehr als <div>, <span>, <img> und table tags wird eh kaum rauskommen.
 
TE
K

klausbyte

Bekanntes Gesicht
Mitglied seit
22.03.2001
Beiträge
3.898
Reaktionspunkte
204
AW: welche html tags für user verbieten

skicu am 02.04.2007 18:32 schrieb:
klausbyte am 02.04.2007 13:30 schrieb:
hm das ist wohl nicht so leicht möglich.
den der editor ist halt wirklich wysiwyg und arbeitet mit div's und allem möglichen, was ich dann unter umständen garnicht mehr so zurückparsen kann.
Ich würde trotzdem alles außer erlaubten Tags rausschmeißen.

Schau dir einfach an, was der Editor theoretisch alles ausspucken kann - das wird dann erlaubt.

Mehr als <div>, <span>, <img> und table tags wird eh kaum rauskommen.
das stimmt wohl.
hdl
 

SlyNx

Erfahrener Benutzer
Mitglied seit
10.12.2001
Beiträge
118
Reaktionspunkte
6
AW: welche html tags für user verbieten

klausbyte am 03.04.2007 11:40 schrieb:
skicu am 02.04.2007 18:32 schrieb:
klausbyte am 02.04.2007 13:30 schrieb:
hm das ist wohl nicht so leicht möglich.
den der editor ist halt wirklich wysiwyg und arbeitet mit div's und allem möglichen, was ich dann unter umständen garnicht mehr so zurückparsen kann.
Ich würde trotzdem alles außer erlaubten Tags rausschmeißen.

Schau dir einfach an, was der Editor theoretisch alles ausspucken kann - das wird dann erlaubt.

Mehr als <div>, <span>, <img> und table tags wird eh kaum rauskommen.
das stimmt wohl.
hdl

hdl????? :B

ganz abgesehen davon, klaus, also wirklich, von dir hätte ich schon erwartet, dass du weißt, dass man nicht die bösen sachen rausfiltert sondern die guten...

machst das doch nicht erst seit gestern...
 

Rabowke

Klugscheißer
Teammitglied
Mitglied seit
09.12.2003
Beiträge
27.018
Reaktionspunkte
6.167
AW: welche html tags für user verbieten

Liebe unter Männern ist nicht ungewöhnlich. :X
 
TE
K

klausbyte

Bekanntes Gesicht
Mitglied seit
22.03.2001
Beiträge
3.898
Reaktionspunkte
204
AW: welche html tags für user verbieten

SlyNx am 26.04.2007 09:26 schrieb:
klausbyte am 03.04.2007 11:40 schrieb:
skicu am 02.04.2007 18:32 schrieb:
klausbyte am 02.04.2007 13:30 schrieb:
hm das ist wohl nicht so leicht möglich.
den der editor ist halt wirklich wysiwyg und arbeitet mit div's und allem möglichen, was ich dann unter umständen garnicht mehr so zurückparsen kann.
Ich würde trotzdem alles außer erlaubten Tags rausschmeißen.

Schau dir einfach an, was der Editor theoretisch alles ausspucken kann - das wird dann erlaubt.

Mehr als <div>, <span>, <img> und table tags wird eh kaum rauskommen.
das stimmt wohl.
hdl

hdl????? :B

ganz abgesehen davon, klaus, also wirklich, von dir hätte ich schon erwartet, dass du weißt, dass man nicht die bösen sachen rausfiltert sondern die guten...

machst das doch nicht erst seit gestern...

ich falle manchmal in ein kreatives loch, wenn ich nach 18 uhr keinen kaffee mehr trinken darf weil ich am nächsten tag früh aufstehen muss, da kommen solche fragen schonmal rein
und es wird nich die letzte sein!

hdl :X
 
Oben Unten