anpera.net

Huhu, Ja ich weiß ein Output HTML fähig zu machen gestatet sich ja recht Simpel.. dachte ich zumindest am Anfang..

aber als ich in der Common nach gschaut habe, hab ich irgendwie nichts gefunden, was ich als Commentar-Ausgabe definieren konnte xD

lediglich diese:


if ($sec!="x") output("`n`b$sec`b`n",true);

output(implode('',$v),true);

die ich testweise schon auf True gestellt hat, es aber nichts gebracht hat, dennoch scheint genau diese Stelle die Kommentarausgabe zu sein, da ich sie mit einem Justify umrahmt hab und es funktioniert hatte was ich wollte xD

nur das was ich grad local aufm testserver testen will haut nicht so ganz hin mh. Denn wenn ich html Inhalte als Kommentar absende ist das ja schön und gut, aber er wird auch genau so ausgegeben wie ich ihn abgesendet hab^^


hat jemand vllt ne Idee?

Ps: Nein ich will nicht das User HTML in ihren Kommentaren benutzen können.. ich will lediglich ein "farbtag" für ein kleines Bild einbauen.. eine Gedankenblase. Sämtliche HTML eingaben von usern würd ich ausfiltern bevor sie in die Datenbank gelangen (nur was zum Thema Sicherheit)^^ und es soll ja wie gesagt nur nen Test werden^^

lg

So wie du das gemacht hast ist es richtig, der Output ist html fähig und du hast im grunde auch die richtigte stelle, aber wenn ein user ein comment schreibt läuft sein comment vor der ausgabe durch die funktion HTMLEntities() wodurch die html tags umcodiert werden und dadurch einfach angezeigt werden.

Hoffe ich hab richtig verstanden was gemeint ist.

Ah lol auf die Idee hätt ich ja auch mal kommen können xD danke dir^^

also muss ich das Entities raus nehmen und dafür meinen eigenen Filter beim Speichern des comments einbasteln, dann sollt es ja hin hauen.

Thx!^^

Bessere Lösung: Ersetze alle HTMLEntities mit HTMLSpecialchars. Gleiche Sicherheit - und äöü etc. werden nicht zu ä.

aber wenn ich's einfach nur umändere, dann bleibt das Endergebnis der Ausgabe doch das gleiche? sprich html als Quellcode?^^

ich hätts jetzt einfach gemacht die HTMLEntities raus genommen und dafür beim Speicher-Eingang nen Filter eingebaut der grob gesagt alle HTML-inhalte direkt raus filtert und durch Leerzeichen ersetzt ^^

was man vllt mit HTMLEntities bzw HTMLSpecialchars Kombinieren kann (also als "suchfilter") das habsch aba noch nich probiert, da mir derzeit aus beruflichen Gründen nen bissl Zeit zum coden fehlt.^^

Wenn man die Beschreibung der Funktion HTMLSpecialchars() in der Dokumentation nachsehen würde, wüsste man, was sie tut. Sie verwandelt(fast) alle Zeichen in Entities, die in HTML eine Spezialbedeutung haben - namentlich sind das &, " und <>. Mit einem Zusatz entitiert sie auch '.

Warum hab ich wohl gleiche Sicherheit hingeschrieben?

Okay danke dann weiß ichs nu wie ichs mache *das juckt mir in den Fingern es zu testen >.<*

also ich nehm bei der Ausgabe die HTMLEntities komplett raus und lasse die comments vor dem speichern einmal durch das HTMLSpecialchars laufen. Dadurch sollte die Ausgabe HTML fähig sein, jedoch ohne dass die User selbst HTML Inhalte posten können. Sags mir falls ich mich täusche xD

Wenn ich ganz ehrlich bin, habe ich den Ursprungspost nicht gelesen und bin offensichtlich von einem anderen Problem ausgegangen. Abgesehen davon erspart man sich durch HTMLSpecialchars einige Probleme, die in Kombination mit Farbcodes und der Commentary auftreten (`ä wird zu `&auml;).

Um eine bestimmte Zeichenkette in ein Bild zu verwandeln, ohne aber HTML zu erlauben, hast du zwei Möglichkeiten:

• Erweitern der appoencode() um einen dritten Parameter $fromCommentary, der standardgemäss auf false steht, um Kompabilität zu bewahren - die commentary übergibt aber true an die appoencode als dritten Parameter - dort kannst du dann nach der Filtration von HTML das bestimmte Zeichen durch dein Bild ersetzen lassen.
• Ersetzen des Zeichens durch Bild nach der Anzeige der Kommentare durch eine zusätzliche, eigene Funktion, die das Zeichen in den HTML-Bild-Code verwandelt, in etwa output(myPictureDisplay(appoencode($comments, false)));

Okay, habs nun mal getestet.. ich hab das Entities komplett gelöscht und vor der Speicherung das Comment durch Specialchars laufen lassen. Funzt alles Super

oder gibs da nun auf diesem Weg irgend eine Sicherheitsschwachstelle, die mir nicht aufgefallen ist?^^'