luser32 Skrevet 13. januar 2006 Skrevet 13. januar 2006 Jeg vil gjerne øke sikkerheten i gjestebok-scriptet mitt ved å "skru av" HTML-tags. Og kanksje legge inn slike tags som man bruker på dette forumet isteden. Kan noen enkelt folklare hvordan dette gjøres? Eller noen som vet om en fin tutorial:)
Loomy Skrevet 13. januar 2006 Skrevet 13. januar 2006 For å oversette HTML-tags slik at det vises som <h1>Hei!</h1> istedenfor.. Hei! ...kan du bruke htmlspecialchars() BBcode-tutorials finner du overalt.
luser32 Skrevet 13. januar 2006 Forfatter Skrevet 13. januar 2006 Takker:) Skal sjekke litt på php.net om de funskjonene så får vi se hva det blir til:)
luser32 Skrevet 13. januar 2006 Forfatter Skrevet 13. januar 2006 Okei, la inn strip_tags() i koden min for å øke sikkerheten litt. Kan dere ta en titt på koden jeg bruker nå, og se om det er noen sikkerhets-hull som gjøre det enkelt å bruke XSS i gjesteboka enda? while ($myrow = mysql_fetch_array($result)) { ?> <div align="center"> <div id="cbox_top"> <div id="cbox_cnt" align="left"><strong>Skrevet av: <?php echo strip_tags($myrow["navn"]); ?></strong></div> <div id="cbox_cntsub" align="left">Skrevet: <?php echo $myrow["dato"]; ?></div> </div> <div id="cbox_mid"> <div id="cbox_main" align="left"> <?php echo strip_tags(nl2br($myrow["kommentar"])); ?> </div> </div> </div> <?php }
Zic0 Skrevet 14. januar 2006 Skrevet 14. januar 2006 echo strip_tags(nl2br($myrow["kommentar"])); Tror den er feil... nl2br må vel være OVER strip_tags eller så vil jo den stirppe alle <br> også. Stemmer vel det? Det blir vel sånn: echo nl2br(strip_tags($myrow["kommentar"]));
Cizza Skrevet 14. januar 2006 Skrevet 14. januar 2006 Det har allerede blitt nevnt fullt brukendes funksjoner til å fjerne HTML-kode så jeg skal ikke komme med flere forslag. Jeg vil bare kommentere bruken av funksjonene. Nå har du plassert disse funksjonene på den siden som viser innleggene. En enda bedre løsning er å plassere funksjonene på den siden hvor brukerene skriver innleggene. Det gjør at "farlig" kode aldri havner i databasen.
luser32 Skrevet 15. januar 2006 Forfatter Skrevet 15. januar 2006 Takk for det:) Fikser det med en gang.
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå