anpera.net https://anpera.dyndns.org/phpbb3/ |
|
Comment-Ausgabe HTML fähig machen https://anpera.dyndns.org/phpbb3/viewtopic.php?f=34&t=5129 |
Seite 1 von 1 |
Autor: | Anderswelt [ Sa 10 Apr, 2010 00:30 ] |
Betreff des Beitrags: | Comment-Ausgabe HTML fähig machen |
Huhu, Ja ich weiß ein Output HTML fähig zu machen gestatet sich ja recht Simpel.. dachte ich zumindest am Anfang.. aber als ich in der Common nach gschaut habe, hab ich irgendwie nichts gefunden, was ich als Commentar-Ausgabe definieren konnte xD lediglich diese: if ($sec!="x") output("`n`b$sec`b`n",true); output(implode('',$v),true); die ich testweise schon auf True gestellt hat, es aber nichts gebracht hat, dennoch scheint genau diese Stelle die Kommentarausgabe zu sein, da ich sie mit einem Justify umrahmt hab und es funktioniert hatte was ich wollte xD nur das was ich grad local aufm testserver testen will haut nicht so ganz hin mh. Denn wenn ich html Inhalte als Kommentar absende ist das ja schön und gut, aber er wird auch genau so ausgegeben wie ich ihn abgesendet hab^^ hat jemand vllt ne Idee? Ps: Nein ich will nicht das User HTML in ihren Kommentaren benutzen können.. ich will lediglich ein "farbtag" für ein kleines Bild einbauen.. eine Gedankenblase. Sämtliche HTML eingaben von usern würd ich ausfiltern bevor sie in die Datenbank gelangen (nur was zum Thema Sicherheit)^^ und es soll ja wie gesagt nur nen Test werden^^ lg |
Autor: | Chaos [ Sa 10 Apr, 2010 01:47 ] |
Betreff des Beitrags: | Re: Comment-Ausgabe HTML fähig machen |
So wie du das gemacht hast ist es richtig, der Output ist html fähig und du hast im grunde auch die richtigte stelle, aber wenn ein user ein comment schreibt läuft sein comment vor der ausgabe durch die funktion HTMLEntities() wodurch die html tags umcodiert werden und dadurch einfach angezeigt werden. Hoffe ich hab richtig verstanden was gemeint ist. |
Autor: | Anderswelt [ Sa 10 Apr, 2010 02:26 ] |
Betreff des Beitrags: | Re: Comment-Ausgabe HTML fähig machen |
Ah lol auf die Idee hätt ich ja auch mal kommen können xD danke dir^^ also muss ich das Entities raus nehmen und dafür meinen eigenen Filter beim Speichern des comments einbasteln, dann sollt es ja hin hauen. Thx!^^ |
Autor: | Eliwood [ So 11 Apr, 2010 14:08 ] |
Betreff des Beitrags: | Re: Comment-Ausgabe HTML fähig machen |
Bessere Lösung: Ersetze alle HTMLEntities mit HTMLSpecialchars. Gleiche Sicherheit - und äöü etc. werden nicht zu ä. |
Autor: | Anderswelt [ Di 13 Apr, 2010 22:42 ] |
Betreff des Beitrags: | Re: Comment-Ausgabe HTML fähig machen |
aber wenn ich's einfach nur umändere, dann bleibt das Endergebnis der Ausgabe doch das gleiche? sprich html als Quellcode?^^ ich hätts jetzt einfach gemacht die HTMLEntities raus genommen und dafür beim Speicher-Eingang nen Filter eingebaut der grob gesagt alle HTML-inhalte direkt raus filtert und durch Leerzeichen ersetzt ^^ was man vllt mit HTMLEntities bzw HTMLSpecialchars Kombinieren kann (also als "suchfilter") das habsch aba noch nich probiert, da mir derzeit aus beruflichen Gründen nen bissl Zeit zum coden fehlt.^^ |
Autor: | Eliwood [ Mi 14 Apr, 2010 08:41 ] |
Betreff des Beitrags: | Re: Comment-Ausgabe HTML fähig machen |
Wenn man die Beschreibung der Funktion HTMLSpecialchars() in der Dokumentation nachsehen würde, wüsste man, was sie tut. Sie verwandelt(fast) alle Zeichen in Entities, die in HTML eine Spezialbedeutung haben - namentlich sind das &, " und <>. Mit einem Zusatz entitiert sie auch '. Warum hab ich wohl gleiche Sicherheit hingeschrieben? ![]() |
Autor: | Anderswelt [ Mi 14 Apr, 2010 09:17 ] |
Betreff des Beitrags: | Re: Comment-Ausgabe HTML fähig machen |
Okay danke ![]() also ich nehm bei der Ausgabe die HTMLEntities komplett raus und lasse die comments vor dem speichern einmal durch das HTMLSpecialchars laufen. Dadurch sollte die Ausgabe HTML fähig sein, jedoch ohne dass die User selbst HTML Inhalte posten können. Sags mir falls ich mich täusche xD |
Autor: | Eliwood [ Mi 14 Apr, 2010 09:55 ] |
Betreff des Beitrags: | Re: Comment-Ausgabe HTML fähig machen |
Wenn ich ganz ehrlich bin, habe ich den Ursprungspost nicht gelesen und bin offensichtlich von einem anderen Problem ausgegangen. Abgesehen davon erspart man sich durch HTMLSpecialchars einige Probleme, die in Kombination mit Farbcodes und der Commentary auftreten (`ä wird zu `ä). Um eine bestimmte Zeichenkette in ein Bild zu verwandeln, ohne aber HTML zu erlauben, hast du zwei Möglichkeiten:
|
Autor: | Anderswelt [ Mi 14 Apr, 2010 22:09 ] |
Betreff des Beitrags: | Re: Comment-Ausgabe HTML fähig machen |
Okay, habs nun mal getestet.. ich hab das Entities komplett gelöscht und vor der Speicherung das Comment durch Specialchars laufen lassen. Funzt alles Super ![]() oder gibs da nun auf diesem Weg irgend eine Sicherheitsschwachstelle, die mir nicht aufgefallen ist?^^' |
Seite 1 von 1 | Alle Zeiten sind UTC + 1 Stunde |
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |