phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] RE: Quellcode-EIngaben in Foren erlauben !

Thomas Gigold php_(at)_phpcenter.de
Thu, 12 Sep 2002 09:36:50 +0200

Previous message: [php] guter php editor gesucht
Next message: [php] OT: Ms Visual Source Safe vs CVS
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

hi

>
>   $string = strip_tags($string, "<a><b><br><i>");
>
> Hinweis: Hüte Dich davor den <img> Tag zu erlauben. Er
> erlaubt Cross-Site-Scripting,
> weil
>
>   <img src="javascript: alert();">
>
> Von den meisten Browsern interpretiert wird. Dangeröus!


wenn, dann würde ich <a> aber ebenfalls nicht zulassen.
da kann man mit OnMouseOver auch nette Sachen machen.
Das beste wird sein, nur gewisse Tags in UBB-Form zuzulassen, oder <a>
filtern und nur den http:// -Link als Direkteingabe (http://web.de
anstelle <a href="...">web.de</a> zuzulassen und URLs automatisch zu
verlinken.

Gruss

thomas

Previous message: [php] guter php editor gesucht
Next message: [php] OT: Ms Visual Source Safe vs CVS
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

php::bar PHP Wiki - Listenarchive