Filtern von Daten im Eingabestring
Thomas Fritz
- perl
Hallo Leute,
ich benutze den FormMailer von Matt Wright, er läuft seit einiger Zeit wunderbar und ohne Probleme. Nun will ich ihn ein wenig abändern.
Dabei soll, ähnlich wie beim Forumsscript, es nicht möglich sein, im Eingabeformular irgendwelche Tags einzugeben. wie kann ich das vermeiden (ich denke, ich muss nur < und > rausfiltern, aber ich weiß nicht, ob das reicht)?
Und, eine wichtige Frage in dem Zusammenhang: Muss ich noch irgend etwas anderes rausfiltern, oder denkt der Formmailer schon an alles?
Danke im Voraus, schöne Grüße
Thomas Fritz
PS: wenn es irgendwelche Threats im Archiv gibt und ihr kennt die Links, bin ich um jeden Link dankbar, oder zumindest um die angabe, nach was ich suchen muss.
In der Hoffnung, daß das Forum nicht auch filtert, versuch ich mal die Zeile:
$_ =~ s/<([^>]\n)*>//g;
streicht die Größerkleinerzeichen und alles dazwischen.
In der Hoffnung, daß das Forum nicht auch filtert, versuch ich mal die Zeile:
$_ =~ s/<([^>]\n)*>//g;
streicht die Größerkleinerzeichen und alles dazwischen.
Hallo,
dass passt sehr gut, danke.
Jetzt stellen sich nur noch zwei Fragen:
Was muss ich alles filtern, um das Formular sicher zu machen (oder reicht der String "$value =~ s/<!--(.\n)*-->//g;", wie ihn Matt Wright nutzt)?
Wie schafft es Stefan, die Tags (also <>) zwar anzuzeigen, aber nicht als Tags zu interprtieren? Oder hat das mit der Geschichte etwas mit dem Thema "Wie schreibe ich < als < und nicht als <" zu tun? UNd dann, was damit sicher zu tunn hat, wie findet das Script heraus, das sich in ekigen klammern ein Link verbergen kann, so dass er Grafiken und Links zulassen kann (siehe http://www.teamone.de/selfaktuell/forum/forumsfaq_2.htm#a8)?
Gruß
Thomas
- Was muss ich alles filtern, um das Formular sicher zu machen (oder reicht der String "$value =~ s/<!--(.\n)*-->//g;", wie ihn Matt Wright nutzt)?
Hm, das ist ein längeres Thema. Fang doch mal damit an, Dich mit "-T" in Perl vertraut zu machen ...
- Wie schafft es Stefan, die Tags (also <>) zwar anzuzeigen, aber nicht als Tags zu interprtieren?
Oder hat das mit der Geschichte etwas mit dem Thema "Wie schreibe ich < als < und nicht als <" zu tun?
Genau das, wie Du im HTML-Quelltext der Postings nachprüfen kannst.
Und dann, was damit sicher zu tunn hat, wie findet das Script heraus, das sich in ekigen klammern ein Link verbergen kann, so dass er Grafiken und Links zulassen kann (siehe http://www.teamone.de/selfaktuell/forum/forumsfaq_2.htm#a8)?
Indem das Skript nach genau solchen Zeichenketten wie /<(^>)]/ etc. sucht und durch den entsprechenden HTML-Code ersetzt.