nicht angemeldet
bösartiger Code
0 0 0 0 0 0 Thementhreads
0
bösartiger Code
Hallo!
Ich hab nun auf meiner Website mein eiegnes Gästebuch geschrieben mit Php/MySQL. Über ein <Form> frag ich die Sachen ab, überprüfe die Eingabe und schreibe Sie dann in die Datenbank. Dabei kann man wählen zwischen "Text" und "HTML".
Wählt man "Text", so werden alle HTML-spezifischen Eingaben in &...; umformatiert, so dass es keine Tags, sondern nur noch Text ist.
Wählt man "HTML", überprüfe ich auf Eingabe wie z.B. "<Script", "<?", "/html" usw, also alles, was bösartig verwendet werden könnte oder meinen Gästebuchquelltext vorzeitig beenden könnte, wie zB "/table".
Was sollte eurer Meinung nach indiziert werden, also nicht erlaubt sein?
zur Zeit habe ich:
"<script", "<?", "/body", "<head", "<body", "<html", "/html", "/td', "/tr', "/table", "<embed"
--
Bis dann!
>> H9k3 <<
Bis dann!
>> H9k3 <<
-
Hi,
Was sollte eurer Meinung nach indiziert werden, also nicht erlaubt sein?
"<script", "<?", "/body", "<head", "<body", "<html", "/html", "/td', "/tr', "/table", "<embed"
Wenn Du bei so einer Liste was vergißt, kann das ausgenutzt werden.
Mir fallen spontan ne ganze Menge Dinge ein, die in der Liste fehlen ( "<!--", "<pre", "<style" usw.).Gehe lieber genau umgekehrt vor:
Schreib eine Liste der erlaubten Sachen - und erlaube dann nur diese.
In ALLEN anderen Fällen ersetzt Du das < durch <Falls Du dabei was erlaubtes vergißt, ist das nicht schlimm.
cu,
Andreas--
MudGuard? Siehe http://www.Mud-Guard.de/
Fachfragen per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.-
hallo!
Gehe lieber genau umgekehrt vor:
Schreib eine Liste der erlaubten Sachen - und erlaube dann nur diese.
In ALLEN anderen Fällen ersetzt Du das < durch <Falls Du dabei was erlaubtes vergißt, ist das nicht schlimm.
Das ist eine gute Idee, muss ich mir mal überlegen! Danke!
--
Bis dann!
>> H9k3 <<-
Hi,
Das ist eine gute Idee, muss ich mir mal überlegen! Danke!
Das ist auch die einzige brauchbare Lösung. Alles andere kannst du vergessen.
P.S PHP hat doch tausende unnötige Funktionen. Da muss doch eine Funktion dabei sein, die im ganzen Text alle Sonderzeichen kodiert. d.H auch inkl. & zu & usw.Markus Trusk.
-
Hallo,
P.S PHP hat doch tausende unnötige Funktionen. Da muss doch eine Funktion dabei sein, die im ganzen Text alle Sonderzeichen kodiert. d.H auch inkl. & zu & usw.
htmlentities() macht das.
MfG Mülli
--
Viva Colonia! -
Moin!
P.S PHP hat doch tausende unnötige Funktionen.
Hallo Markus!
Es mag sein, dass manche Funktion zwar auch durch ganz einfache Befehlsfolgen ersetzbar ist, aber sieh es mal so:
PHP ist eine Interpretersprache. Diese übersetzen den Programmquelltext zeilenweise in Maschinencode und sind deswegen langsam. Wenn jetzt Funktionen etliche Zeilen Programmquelltext ersetzen können, dann sind diese schneller, weil die schon kompiliert sind.
Niemand wird übrigens "unnötige" Funktionen schreiben: Warum sollte sich der Programmierer die Arbeit machen oder warum sollte ihn dann jemand bezahlen. "unnötig" ist, was man nicht gebrauchen kann. Nur gibts so manchen, der kann etwas gebrauchen, was Du für Müll hältst.
Übrigens: Schon mal auf einer Grollgeschenkeparty gewesen?
Da geht man hin und muss soviele Sachen mitnehmen, wie man hingebracht hat: Kaum zu glauben: manches, was dem einen "ein Dorn im Auge" ist, hat der andere "schon immer haben wollen".Wenn nicht: organisier mal eine....
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix®
--
Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Development. Auch für seriöse Agenturen.
-
-
-
-
ach übrigens:
Wer interesse an meinem Gästebuch-Quelltext hat, einfach bei mir melden. Natürlich braucht man dafür ne MySQL-Datenbank und Php.-
Hi @all!
Wer interesse an meinem Gästebuch-Quelltext hat, einfach bei mir melden. Natürlich braucht man dafür ne MySQL-Datenbank und Php.
Gerne, mich würde das mal interessieren, kann man bestimmt draus lernen *g*
E-Mail: webmaster | at | riehle-web.com
| at | == @MfG, Dennis.
--
Hinweise:
Fragen zu Formularen beantwortet http://tutorial.riehle-web.com
Meine HP: http://www.riehle-web.com -
Hallo,
Wer interesse an meinem Gästebuch-Quelltext hat, einfach bei mir melden. Natürlich braucht man dafür ne MySQL-Datenbank und Php.
Mal ehrlich: Warum in aller Welt sollte jemand aus den abermillionen Gästebuch-Quellcodes, die es allein für PHP/MySQL gibt ausgerechnet deinen hinreichend interessant finden?
Grüße aus Barsinghausen,
Fabian-
Hallo Fabian
Mal ehrlich: Warum in aller Welt sollte jemand aus den abermillionen Gästebuch-Quellcodes, die es allein für PHP/MySQL gibt ausgerechnet deinen hinreichend interessant finden?
Und was ist mit deinem Posting? Hat glaub ich auch keinem wirklich geholfen! Für den Code hingegen hat sich schon jemand interessiert!
Dein Verhalten war in diesem Fall absolut arrogant und anmassend. Du unterstellst jemandem, sein Code interessiere kein Schwein, nur weil DU vielleicht gerade kein Interesse hast und dazu wohl noch glaubst, es viel besser zu können ohne das Gästebuch auch nur angeschaut zu haben!
Solche Verhaltensweisen nerven einfach nur und machen das Forum zur Sau!
Gruss
der_genervte
-
N'Obend
Wär vielleicht mal ganz interessant...
Ich denke mal eine menge Leute hier haben sich schon an solchen typischen Problemen versucht. Was liegt da näher als eine Art Thementhread?
Jeder der mitmachen will postet seine Problemlösung / sein Script zu einem Thema, die/das dann anschließend diskutiert wird.Ein paar kleine Scripte wie eben ein Gästebuch hab ich auch hier. Von manchen weiß ich, dass sie nur sehr lausig zusammengeflickt sind, bei anderen würde mich durchaus interessieren, ob noch (bzw. wie viele) (Anfänger-)Fehler drin sind.
Der Kluge lernt aus seinen Fehlern, das Genie aus den Fehlern anderer :)
Nur so ne spontane Idee, vielleicht findet sich ja jemand, den's auch interessiert.
Tschö,
dbenzhuser
-
-
-
Hi,
stell dir mal folgendes vor:
<b style="display: block; position: static; top: 0px; left: 0px; width: 100%; height: 100%; ">Is doch nur fett?</b>
E7