Hallo!

grundsätzlich nicht.

schade ;-)

du kannst html/javascript-code nicht auf qaulität/inhalt überprüfen, sofern du nicht ein megabytegroßes posix-monster haben willst.

Das will ich gar nicht.

somit bist du auf der sicheren seite, wenn du alles rausfilterst, wie auch immer.

Das würde ich dann zusätzlich machen, klar. Aber da es sich ja nur um die Felder name und email handelt, sollte man doch einfach ein paar Zeichen prüfen können, die notwendig seind, aber garantiert in keinem (normalen;-)Namen und keiner email-Adresse vorkommen!
Nicht falsch verstehen, ich gebe das auf alle fälle geschützt aus, aber ich würde gerne ganz auffällige "Angriffe" direkt abblocken, um nicht so komische Sachen im Forum stehen zu haben.
Ich weiß jetzt nicht, was ales in einer emailadresse vorkommen daf, aber doch sicher kein <>:"'\ oder?

Und sowas sollte cuh in keinem Namen vorkommen, also könnte ich alle Anfragen, in denen deise zeichen in Namen und email stehen direkt abblocken. Klar ist das nicht sicher, ich wüßte ´zar nicht, wie man ohne diese Zeichen noch was andrichten will, woll aber nichst riskieren, udn gebe dqas dann pber htmlentities aus, strip-tags macht mir ein wenig Angst, da es am Struing "herumdoktert", und so evtl Schen entfernt oder verfälscht, die so nicht sein sollten.

tipp: strip_tags(); gibt nen fehler, wenn der code der "gestript" wird nicht valide ist. dahin könnte man also was machen, aber ich bin sicher, befriedigend wäre das nicht.

Ja, wie gesat, hinterher kommt der Fehler, obwolh eigentlich nichst nötig ist, und schwupp kann man nicht posten!

aber, zusammenfassend gesagt ist es mir wichtiger, dass der code nicht druchkommt, als das ich weiß, dass da welcher war ;=)

Ja, das stimmt, aber mit meiner Überlegung käme ich gleichzeitig mit htmlentities asu, und hätte kein "häßlichen" Postings!

Grüße
Andreas

Hallo!

So wie ich das sehe, läuft dein Forum genauso, wie dieses hier: Man gibt den gewünschten Usernamen und Mail-Adresse ein, das Forum übernimmt die einfach, und entsprechend wird der Eintrag gespeichert.

Genau, mit dem Unterschied das die Daten gespeichert werden, und ggfs drauf zugegriffen wird.

Was ich nicht sehe (weils vermutlich noch fehlt), ist die Möglichkeit, sich anzumelden und regulär zu seiner User-ID zu kommen.

Ich weiß nicht ob ich das überhaupt will. Im Augenblick funktioniert das so, wenn man in das erste Posting seine mailadresse eingibt, wird man eingeloggt, die DB wird nach der email-Adresse durchsucht, und wenn neu, dann wird der User angelegt, wenn bekannt werde halt dei entsprechendne Daten in der Sessin registriert. Außerdem bekommt man immer eine email, wenn eine Antwort in einem Thread, in dem man mal gepostet hat eingeht. In dieser Mail steht ein Link, in dem die UID übergeben wird, also wird man direkt eingelogt!

Genauso wenn Du jemanden "einlädst", Du brauchst immer nur die mailadresse einzugeben(!), nach dieser wird die DB durchsucht, wenn bekannt wird der User per mail eingeladen, mit entsprechendem Link mit UID.

3. Möglichkeit wäre noch eine url mit UID in den Favoriten zuregistrieren, mal schaun ob das sinnvoll ist.

Ich weiß nicht, ob ich jetzt überhaupt noch einen extra Login brauche.

So, die entscheidende Frage ist aber: Ist es für dich wichtig, daß angemeldete User nicht einfach gefakt werden können. Diese Überlegung ist auch für das neue Selfforum im Gange - ich weiß nicht, was da der Stand ist, vermute aber mal, daß man sich am System mit Username und Paßwort anmelden _kann_, wenn man das möchte (weil es dann auch reichlich tolle Features gibt), und dadurch ja eine Authentifizierung von Postings möglich wäre. Faker könnten als solche schnell erkannt werden, sofern eine derartige Info mit angezeigt wird.

Ja, das ist in der Tat ein Problem, außerdem speichere ich bei den Threads nicht den Namen des Autors, sondern nur seine UID; un dwenn daran jeman rumfummelt steht in jedem Posting was falsches! Daher werde ich die Daten auch noch bei den Postings speichern.

Verhindern kann man das nur über Login mir Passwort - wie auch immer man das macht. Aber darauf will ich grundsätzlich verzichten (evtl will ich die Möglichkeit für private Diskussion schaffen, dann wahlweise nur unsichtbar/htaccess/eigener Mechanismus).

Aber wenn ich überlege, hier könnte das doch auch jemand machen, und wie oft passiert das?
ich werde wohl den Weg gehen, nicht nur dei UID in die Links zu schreiben, sondern auch md5($email.$name);
Dann müßte man sich schon wieder Arbeit machen und das lohnt nicht für sowas.

Wobei mir gerade einfällt, es kann ja jeder eine mailadresse eingeben und ist auch eingeloggt!? Da ist es wieder - je einfacher, desto unsicherer.  Und da die mailadressen in den Postings stehen, ist das nicht wirklich schwer ;-)

Ansonsten: Ein schönes Forum hast du da schon. Ein paar Dinge (siehe oben) fehlen noch, aber insgesamt hat es ein recht gutes Aussehen.

Danke Dir!

Was zu bemängeln wäre: Du zeigst die Diskussionsbeiträge in umgekehrter Reihenfolge an, das neueste zuerst. Dadurch kann man die Beiträge aber kaum nacheinander lesen, weil man vor allem bei längeren Texten erstmal hochscrollen muß zum Anfang, sich dann runterarbeitet, dann wieder hochscrollen zum Anfang des nächsten Beitrages, wieder runterarbeiten...

Das werde ich berücksichtigen.

Man erwartet einfach die Fortsetzung einer Diskussion entlang des natürlichen Leseflusses. Also das neueste ganz nach unten.

OK.

Der Validator geht gerade nicht - aber Validität ist kein Luxus, sondern elementarer Bestandteil jeder Seite. Muß also nur dann erwähnt werden, wenn sie fehlt. Daß du es hingekriegt hast, trotzt PHP-Sessions valide & in die URL einzufügen, ist nochmal eine Bemerkung wert - wie hast du das geschafft?

;-) soll das jetzt heißen ich soll die schön auffälligen Buttons unten weglassen? Mensch, ich war so stolz!
Wie ich das mit der SessionID gemacht habe?
Wie mir geschrieben wurde, über die php.ini, und zwar:

arg_separator.output = "&"
arg_separator.input = ";&"

Anders habe ich es nicht geschafft. Leider. Aber da ich wegen register_globals eh da dran mußte, warum nicht auch das direkt ändern ;-)

Was ich unbedingt ergänzen wollte: htmlentities() ist kein Allheilmittel.

doch!

<a href=" echo basename($PHPSELF)."?id=$id&PID=".htmlentities($postings["ID"]); #verfassen">antworten</a>

im Gegenteil werde ich hier sogar htmlentities() weglassen! Denn $postings["ID"] ist von mysql_fetch_array(), und die Spalte ID ist 'int'! Wie soll darin was böses stehen, und Zahlen sollten doch auch in der URL erlaubt sein!

In diesem Falle würden htmlentities() aber nicht weit genug gehen. Du solltest hier mit urlencode()/rawurlencode() arbeiten - damit kriegst du den String in jedem Fall durch den Validator ;) und auch durch jeden Browser. Denn gewisse Zeichen sind als URL-Parameter einfach verboten - und es sind nicht die Zeichen, die htmlentities() ersetzt, sondern noch viele andere. Fragezeichen, Leerzeichen und &-Zeichen zum Beispiel, aber auch Slashes.

Das ist mir bekannt, aber ich übertrage da ja keine Daten ausser Zahlen und er SessionID, vielleicht noch md5(), aber das lasse ich glaube ich, da man sowieso anders noch leichter die Daten ändern könnte. Das ist ein größeres Problem, als ich anfangs gedacht habe.

Vielen Dank für das Lesen des langen Quelltextes ;-) Ist doch angenehmer so, als so einfach in schwarz, oder?

Was ich noch machen möchte, ist das highlighting für weitere Sprachen zu implementieren, oder wenigstens vorab die spezifischen Tags zu ersetzen, also z.B. <% für asp, zum highlighten in <? übersetzen, und später wieder  <% ausgeben.  Nur mit PERL geht das nicht, naja, da mache ich mir nochmal Gedanken, auch html-Highlighting wäre nicht schlecht, da gibt es doch bestimmt irgendwelche Möglichkeiten(Klassen/Packages?) in PHP, oder?

Übrigens, wenn Du "eingeloggt" bist, werden Deine Postings in der Boardansicht mit anderem Hintegrund angezeigt, auch in der Baumansicht wirden sie hervorgehoben...

Grüße
Andreas