moin,

es wäre vielleicht noch interessant zu sehen, was denn in der Datenbank(?) landete, aber ergänze es mal um htmlentities() - das dürfte vieles verhindern, doer?

Mach ich genauso. Aber nicht beim Eintragen in die DB sondern beim Rauslesen.

Hotte

Hallo :)

Grüße,

Aber das stört den Graumelierten nicht, er macht da trotzdem Javascript rein.

es wäre vielleicht noch interessant zu sehen, was denn in der Datenbank(?) landete, aber ergänze es mal um htmlentities() - das dürfte vieles verhindern, doer?

htmlentities() habe ich neben strip-tags schon an anderer Stelle auch verwendet.

Ich benutze nicht mysql, sondern eine einfache Textdatei als Datenbank.
Ja, was in der Datenbank gelandet ist, zeige ich Dir gerne mal:

So sieht der php Code aus:

else {

$daten="<fieldset><legend>".$_POST['name']."</legend><div id='dz'>$datum</div><br><br>".$_POST['eintrag']."<br><br><a href=".$_POST['homepage']."><div class='legend'>".$_POST['homepage']."</div></a><a href=mailto:".($_POST['email'])."><div class='legend'>".$_POST['email']=str_replace("@","~at~",$_POST['email'])."</div></a></fieldset> \n";

$datei = fopen(("daten.txt"),"a");

// fremden Code verhindern

$_POST['name'] = strip_tags($_POST['name']);
      $_POST['email'] = strip_tags($_POST['email']);
      $_POST['homepage'] = strip_tags($_POST['homepage']);
      $_POST['eintrag'] = strip_tags($_POST['eintrag']);

fwrite($datei, $daten);

So sieht der Eintrag aus:

Also hier kommt der Meister des HTML:<br><a href="javascript:alert('bätsch');">Friede Freude Eierkuchen</a>.<br><br><a href=><div class='legend'></div></a><div class='legend'></div></fieldset>

In die letzten beiden Divs kämen der Homepagelink sowie die Emailangabe.

mfg
cygnus

Hallo :)

Ratschlag für die Zukunft:
Lies die Packungsbeilage, und nimm keine Dosis über der empfohlenen.

Der Ratschlag kommt viel zu spät.

Also wird unerwünschter Code offenbar nicht entfernt.

Nutze htmlspecialchars, und lasse auch die Anführungszeichen und/oder Hochkommata behandeln - sonst lässt sich JavaScript-Code bspw. an Stellen einschleusen, an denen aus den Nutzereingaben Attributwerte erzeugt werden.

Danke.
Ersteres hat schon funktioniert.
Letzteres probiere ich als nächstes.

mfg
cygnus

Hallo :)

bla bla dümmer gehts nicht oder?
und "bitte nur ernstgemeinte Antworten!" (imperativ)

Ja da hat jeder aus der Rollenwelt was für sich gefunden oder?

Deine Einwände kann ich überhaupt nicht nachvollziehen.
Ich habe die wahren Vorkommnisse absolut detailgetreu geschildert, das ist alles gestern genau so passiert. Natürlich habe ich mich schon bei der Rollenwelt-Gleichstellungsstelle über die mir zugewiesene Rolle und bei der Vereinigung der humorlosen Informatiker über den als Gästebuchbegutachter eingesetzten Prüfer beschwert, aber das gehört ja wohl kaum hier hin.

Auch wenn man sich den Inhalt und die Antwort darauf zusammen basteln kann, muss das denn unbedingt sein? Ostern ist vorbei und rate-/suchspiele sind imho hier fehl am Platz. omg

Das Basteln und Raten und Suchen ist ja völlig unnötig, schließlich habe ich das Problem maskiert für Informatiker mit Humor und demaskiert für Informatiker ohne Humor beschrieben, siehe hier mein eigenes Zitat:

PS: Es ist ein PHP Script, und mittels strip_tags wird unerwünschter Code aus den Formulareinträgen entfernt.
Aber das stört den Graumelierten nicht, er macht da trotzdem Javascript rein.

Und da ich hier mehrfach auf htmlspezialchars() verwiesen worden bin und mir erklärt wurde, dass strip_tags nicht ausreichen, wurde ich auch von fast allen übrigen verstanden.

mfg
cygnus

PS: Es ist ein PHP Script

Das kann man leicht verhindern. Ich nehme einfach die spitze Klammer bei <?php weg - und schon ist es kein PHP Script mehr.

Spring über deinen Schatten und verwende htmlspecialchars().

mfg Beat

Hallo :)

Ich habe dein Posting mal als fachlich hilfreich gekennzeichnet, war zwar ein Blick in die hier vielbeschworene Glaskugel, aber durchaus richtig:

und mittels strip_tags wird unerwünschter Code aus den Formulareinträgen entfernt.

Auch das lässt sich verhindern, lass die strip_tags einfach woanders strippen.

mfg
cygnus

Hi,

Also habe ich den Stringteil javascript einfach verboten:

$_POST['homepage'] = str_replace("javascript","Pfui, das ist verboten", $_POST['homepage']);

  
Warum soll ich auf keinereli Seite mehr verweisen können, deren URL "javascript" irgendwo im Domainnamen oder Pfad-Bestandteil stehen hat?  
  

> Aber was muss ich beim nächsten Mal im Gästebuch lesen?  
>   
> Genau, so einen Link:  
> <a href=%6A%61%76%61%73%63%72%69%70%74:alert(%22hallo%22)>,  
> und das wird ja in der Adresszeile des Browsers auch wieder zu javascript usw.  
  
Du könntest also erst mal urldecode auf den Wert anwenden - und dann anschliessend überprüfen, ob es eine "javascript:..."-Adresse darstellt (aber bitte etwas feinfühliger als oben).  
  

> Meine Frage:  
> Gibt es dafür eine fachlich angemessenere Lösung?  
  
Du könntest die Eingabe auch erst mal parse\_url vorwerfen - und schauen, ob dieses daraus \*sinnvolle\* Bestandteile eines URLs zu extrahieren vermag.  
  
Bei obigem Beispiel kommt da nur ein "path"-Bestandteil bei heraus, mehr vermag parse\_url darin nicht zu erkennen - und daraus könnte man schon ein paar Schlüsse ziehen.  
  
Das würde dir auch die vorher vorkommende Eingabe javascript:alert("hallo") so zerlegen, dass der "scheme"-Bestandteil "javascript" lautet - und darauf könnte man recht einfach prüfen, ohne wie oben angesprochen "legale" Adressen unsinngerweise abzuweisen.  
  
MfG ChrisB  
  

-- 
Light travels faster than sound - that's why most people appear bright until you hear them speak.

Aber das stört den Graumelierten nicht, er macht da trotzdem Javascript rein.
Nachdem das Einsetzen von Links nun nicht mehr möglich ist,
bleibt noch eine Lücke: Die Homepageangabe wird ja verlinkt, und dort kann man Javascript noch hineinsetzen.
Das hat der Graumelierte auch gemacht.
Also habe ich den Stringteil javascript einfach verboten:

$_POST['homepage'] = str_replace("javascript","Pfui, das ist verboten", $_POST['homepage']);

>   
> Aber was muss ich beim nächsten Mal im Gästebuch lesen?  
> Genau, so einen Link:  
> <a href=%6A%61%76%61%73%63%72%69%70%74:alert(%22hallo%22)>,  
> und das wird ja in der Adresszeile des Browsers auch wieder zu javascript usw.  
  
Es ist sinnlos, das Wort javascript filtern zu wollen.  
Wenn man eine url zur öffentlichen Definition freigibt, dann spart man sich viel Ärger, wenn man das Schema vorgibt.  
Eine url muss mit "(?i:http|https)://" beginnen. Wenn sie nicht so beginnt, kann man die url entweder ablehnen, oder ein http:// voranstellen.  
  
So man die Schemata kennt kann man ja noch weitere einbeziehen. Allerdings ist klar, wenn von einer Homepage url die Rede ist, dass die Besucher kein  
javascript: erwarten, auch kein irc: und eher selten ftp:  
  
mfg Beat

-- 

><o(((°>           ><o(((°>  

   <°)))o><                     ><o(((°>o  
Der Valigator leibt diese Fische