Aber das stört den Graumelierten nicht, er macht da trotzdem Javascript rein.
Nachdem das Einsetzen von Links nun nicht mehr möglich ist,
bleibt noch eine Lücke: Die Homepageangabe wird ja verlinkt, und dort kann man Javascript noch hineinsetzen.
Das hat der Graumelierte auch gemacht.
Also habe ich den Stringteil javascript einfach verboten:
$_POST['homepage'] = str_replace("javascript","Pfui, das ist verboten", $_POST['homepage']);
>
> Aber was muss ich beim nächsten Mal im Gästebuch lesen?
> Genau, so einen Link:
> <a href=%6A%61%76%61%73%63%72%69%70%74:alert(%22hallo%22)>,
> und das wird ja in der Adresszeile des Browsers auch wieder zu javascript usw.
Es ist sinnlos, das Wort javascript filtern zu wollen.
Wenn man eine url zur öffentlichen Definition freigibt, dann spart man sich viel Ärger, wenn man das Schema vorgibt.
Eine url muss mit "(?i:http|https)://" beginnen. Wenn sie nicht so beginnt, kann man die url entweder ablehnen, oder ein http:// voranstellen.
So man die Schemata kennt kann man ja noch weitere einbeziehen. Allerdings ist klar, wenn von einer Homepage url die Rede ist, dass die Besucher kein
javascript: erwarten, auch kein irc: und eher selten ftp:
mfg Beat
--
><o(((°> ><o(((°>
<°)))o>< ><o(((°>o
Der Valigator leibt diese Fische