nicht angemeldet
HTML Hacken sperren
Hallo alle zusammen ich hab ein Inputfeld.
<p>Registerinhalt<br><input value="<?php echo ($assoc['register_inhalt']);?>" name="register_inhalt" type="text" size="30">
So das Problem ist folgendes wenn ich in dieses Editfeld HTML Tags schreibe wie <br> oder <script> ... Dann werden die vom Broswer interpretiert und ausgeführt. Das heisst wenn ich darein schreibe "Test <br> Hallo" Wird das <br> interpretiert und ein Zeilenumbruch ausgeführt. Ich muss aber das Hacken durch HTML über das EditFeld sperren. Gibts da bestimmte Attribute oder so wie man ihm sagen kann interpretiert im Editfeld die HTML Tag eingabe nicht?
-
Lieber Bahar,
<input value="<?php echo ($assoc['register_inhalt']);?>" name="register_inhalt" type="text" size="30">
Du suchst nach der Funktion htmlentities().
Wenn es dann damit "funzt", dann darfst Du das zum Anlass nehmen, um Dich über "kontext-gerechtes Kodieren" zu informieren.Liebe Grüße,
Felix Riesterer.
--
ie:% br:> fl:| va:) ls:[ fo:) rl:° n4:? de:> ss:| ch:? js:) mo:} zu:)-
Und dann gäbe es auch noch
strip_tags()-
Und dann gäbe es auch noch
strip_tags()nein, das hat nicht den selben effekt - strip_tags() entfernt die gewünschten (oder nicht gewünschten) elemente - bei einem affenformular ist das aber mit hoher wahrscheinlichkeit nicht erwünscht
-
Ja, klar. Natürlich entfernt strip_tags() Elemente, während du vorschlägst, die Enititäten zu codieren.
Beides kann richtig sein. Ob Bahar nun HTML rausschmeißen oder codieren escapen möchte, kann ich nicht sagen. Nun hat er auf jeden Fall das Rüstzeug für beide Ansätze...
Und dann gäbe es auch noch
strip_tags()
nein, das hat nicht den selben effekt - strip_tags() entfernt die gewünschten (oder nicht gewünschten) elemente - bei einem affenformular ist das aber mit hoher wahrscheinlichkeit nicht erwünscht
-
-
-
Hi,
Du suchst nach der Funktion htmlentities().
Nein, htmlspecialchars.
MfG ChrisB
--
„This is the author's opinion, not necessarily that of Starbucks.“
-