anpera.net
https://anpera.dyndns.org/phpbb3/

Comment-Ausgabe HTML fähig machen
https://anpera.dyndns.org/phpbb3/viewtopic.php?f=34&t=5129
Seite 1 von 1

Autor:  Anderswelt [ Sa 10 Apr, 2010 00:30 ]
Betreff des Beitrags:  Comment-Ausgabe HTML fähig machen

Huhu, Ja ich weiß ein Output HTML fähig zu machen gestatet sich ja recht Simpel.. dachte ich zumindest am Anfang..

aber als ich in der Common nach gschaut habe, hab ich irgendwie nichts gefunden, was ich als Commentar-Ausgabe definieren konnte xD

lediglich diese:


if ($sec!="x") output("`n`b$sec`b`n",true);

output(implode('',$v),true);

die ich testweise schon auf True gestellt hat, es aber nichts gebracht hat, dennoch scheint genau diese Stelle die Kommentarausgabe zu sein, da ich sie mit einem Justify umrahmt hab und es funktioniert hatte was ich wollte xD

nur das was ich grad local aufm testserver testen will haut nicht so ganz hin mh. Denn wenn ich html Inhalte als Kommentar absende ist das ja schön und gut, aber er wird auch genau so ausgegeben wie ich ihn abgesendet hab^^


hat jemand vllt ne Idee?

Ps: Nein ich will nicht das User HTML in ihren Kommentaren benutzen können.. ich will lediglich ein "farbtag" für ein kleines Bild einbauen.. eine Gedankenblase. Sämtliche HTML eingaben von usern würd ich ausfiltern bevor sie in die Datenbank gelangen (nur was zum Thema Sicherheit)^^ und es soll ja wie gesagt nur nen Test werden^^

lg

Autor:  Chaos [ Sa 10 Apr, 2010 01:47 ]
Betreff des Beitrags:  Re: Comment-Ausgabe HTML fähig machen

So wie du das gemacht hast ist es richtig, der Output ist html fähig und du hast im grunde auch die richtigte stelle, aber wenn ein user ein comment schreibt läuft sein comment vor der ausgabe durch die funktion HTMLEntities() wodurch die html tags umcodiert werden und dadurch einfach angezeigt werden.

Hoffe ich hab richtig verstanden was gemeint ist.

Autor:  Anderswelt [ Sa 10 Apr, 2010 02:26 ]
Betreff des Beitrags:  Re: Comment-Ausgabe HTML fähig machen

Ah lol auf die Idee hätt ich ja auch mal kommen können xD danke dir^^

also muss ich das Entities raus nehmen und dafür meinen eigenen Filter beim Speichern des comments einbasteln, dann sollt es ja hin hauen.

Thx!^^

Autor:  Eliwood [ So 11 Apr, 2010 14:08 ]
Betreff des Beitrags:  Re: Comment-Ausgabe HTML fähig machen

Bessere Lösung: Ersetze alle HTMLEntities mit HTMLSpecialchars. Gleiche Sicherheit - und äöü etc. werden nicht zu ä.

Autor:  Anderswelt [ Di 13 Apr, 2010 22:42 ]
Betreff des Beitrags:  Re: Comment-Ausgabe HTML fähig machen

aber wenn ich's einfach nur umändere, dann bleibt das Endergebnis der Ausgabe doch das gleiche? sprich html als Quellcode?^^

ich hätts jetzt einfach gemacht die HTMLEntities raus genommen und dafür beim Speicher-Eingang nen Filter eingebaut der grob gesagt alle HTML-inhalte direkt raus filtert und durch Leerzeichen ersetzt ^^

was man vllt mit HTMLEntities bzw HTMLSpecialchars Kombinieren kann (also als "suchfilter") das habsch aba noch nich probiert, da mir derzeit aus beruflichen Gründen nen bissl Zeit zum coden fehlt.^^

Autor:  Eliwood [ Mi 14 Apr, 2010 08:41 ]
Betreff des Beitrags:  Re: Comment-Ausgabe HTML fähig machen

Wenn man die Beschreibung der Funktion HTMLSpecialchars() in der Dokumentation nachsehen würde, wüsste man, was sie tut. Sie verwandelt(fast) alle Zeichen in Entities, die in HTML eine Spezialbedeutung haben - namentlich sind das &, " und <>. Mit einem Zusatz entitiert sie auch '.

Warum hab ich wohl gleiche Sicherheit hingeschrieben? ;)

Autor:  Anderswelt [ Mi 14 Apr, 2010 09:17 ]
Betreff des Beitrags:  Re: Comment-Ausgabe HTML fähig machen

Okay danke :) dann weiß ichs nu wie ichs mache *das juckt mir in den Fingern es zu testen >.<*

also ich nehm bei der Ausgabe die HTMLEntities komplett raus und lasse die comments vor dem speichern einmal durch das HTMLSpecialchars laufen. Dadurch sollte die Ausgabe HTML fähig sein, jedoch ohne dass die User selbst HTML Inhalte posten können. Sags mir falls ich mich täusche xD

Autor:  Eliwood [ Mi 14 Apr, 2010 09:55 ]
Betreff des Beitrags:  Re: Comment-Ausgabe HTML fähig machen

Wenn ich ganz ehrlich bin, habe ich den Ursprungspost nicht gelesen und bin offensichtlich von einem anderen Problem ausgegangen. Abgesehen davon erspart man sich durch HTMLSpecialchars einige Probleme, die in Kombination mit Farbcodes und der Commentary auftreten (`ä wird zu `&auml;).

Um eine bestimmte Zeichenkette in ein Bild zu verwandeln, ohne aber HTML zu erlauben, hast du zwei Möglichkeiten:
  • Erweitern der appoencode() um einen dritten Parameter $fromCommentary, der standardgemäss auf false steht, um Kompabilität zu bewahren - die commentary übergibt aber true an die appoencode als dritten Parameter - dort kannst du dann nach der Filtration von HTML das bestimmte Zeichen durch dein Bild ersetzen lassen.
  • Ersetzen des Zeichens durch Bild nach der Anzeige der Kommentare durch eine zusätzliche, eigene Funktion, die das Zeichen in den HTML-Bild-Code verwandelt, in etwa output(myPictureDisplay(appoencode($comments, false)));

Autor:  Anderswelt [ Mi 14 Apr, 2010 22:09 ]
Betreff des Beitrags:  Re: Comment-Ausgabe HTML fähig machen

Okay, habs nun mal getestet.. ich hab das Entities komplett gelöscht und vor der Speicherung das Comment durch Specialchars laufen lassen. Funzt alles Super :)

oder gibs da nun auf diesem Weg irgend eine Sicherheitsschwachstelle, die mir nicht aufgefallen ist?^^'

Seite 1 von 1 Alle Zeiten sind UTC + 1 Stunde
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/