Hallo :)

Aber das stört den Graumelierten nicht, er macht da trotzdem Javascript rein.

Nachdem das Einsetzen von Links nun nicht mehr möglich ist,
bleibt noch eine Lücke: Die Homepageangabe wird ja verlinkt, und dort kann man Javascript noch hineinsetzen.

Das hat der Graumelierte auch gemacht.

Also habe ich den Stringteil javascript einfach verboten:

  
   $_POST['homepage'] = str_replace("javascript","Pfui, das ist verboten", $_POST['homepage']); 

Aber was muss ich beim nächsten Mal im Gästebuch lesen?

Genau, so einen Link:
<a href=%6A%61%76%61%73%63%72%69%70%74:alert(%22hallo%22)>,
und das wird ja in der Adresszeile des Browsers auch wieder zu javascript usw.

Zwar konnte mein Browser das dazugehörige Fensterchen mit der netten Begrüßung gar nicht öffnen bzw. gar nicht finden, aber schön ist das ja nicht.

Nun gut, ich habe auch diesen String wieder ausgetauscht gegen ein "Pfui, das ist verboten".

Meine Frage:
Gibt es dafür eine fachlich angemessenere Lösung?
Und was könnte der Graumelierte mit den unheimlichen Fähigkeiten meinem Gästebuch noch an Grausamkeiten durch Schadcode zufügen?

mfg
cygnus