Antworten auf deine Fragen:
Neues Thema erstellen

HTML nicht ausgeben lassen

S

SierraLeon

Guest

Hallo zusammen,
programmiere ja jetzt schon länger an einer Seite, die ich eigl. gerne demnächst fertigstellen würde.
Jetzt hab ich das folgende Problem gefunden: Wenn ein User in ein Textfeld eine Eingabe macht, wird diese dann auf der Seite wiedergegeben. Soweit kein Problem. Wenn der User jetzt aber Beispielsweise als Eingabe macht
HTML: 
<iframe width="100" height="100" src="http://wohin-auch-immer-ganz-egal.de"></iframe>

dann wird auch das angezeigt, was ja eine ziemlich gewaltige Sicherheitslücke darstellt. Jetzt ist die Frage: Wie kann ich es unterbinden dass der html-Tag interpretiert wird und stattdessen eben einfach nur "<iframe width=..." usw. ausgegeben wird ?

Danke für eure Hilfe :)

Grüße
SierraLeon
 

S

SierraLeon

Guest

AW: HTML nicht ausgeben lassen

Super das war genau das was ich gesucht und nicht gefunden habe :)

Vielen Herzlichen Danken :)

Noch eine Frage dazu: Wenn man das benutzt kann man sich im Grunde ja das addslashes sparen oder ?
 
S

stroyer

Aktives Mitglied

AW: HTML nicht ausgeben lassen

Hängt davon ab; addslashes brauchst du nur in Verbindung mit Datenbanken, wenn Anführungszeichen zum Problem werden. So bei der Ausgabe wird aber ohnehin z.B. " nach &quot; umgewandelt.
 
LigH

LigH

Nicht mehr ganz neu hier

AW: HTML nicht ausgeben lassen

Gerade bei Datenbankzugriffen gibt es statt des allgemeinen "addslashes" auch die auf den Server abgestimmte Variante unter den jeweiligen Datenbanken-Funktionen, z.B. "mysql_real_escape_string".

Man muss zusätzlich noch beachten, dass je nach Server-Konfiguration teilweise automatisch Slashes in die per POST-Formular gesendeten Texte eingefügt werden - aber nur wenn "get_magic_quotes_gpc()" wahr ist. Wenn man also Textfelder wieder mit ihrer ursprünglichen Eingabe füllen will (z.B. weil die Eingabe wegen Fehlern wiederholt werden muss), sind diese Slashes wieder zu entfernen, sonst vermehren sie sich rund um sich selbst und um eingegebene Anführungszeichen.

Ebenfalls kann es am einfachsten sein, eingegebene HTML-Tags zu vermeiden, indem man sie mit "strip_tags" herausfiltert. Diese Funktion läßt nur unformatierten Text zwischen HTML-Tags durch. Das könnte jedoch wiederum z.B. bei der Eingabe von ausführlichen Emailadressen (Name <konto@server>) stören, außer das "@" unterbricht die Verarbeitung...
 
S

stroyer

Aktives Mitglied

AW: HTML nicht ausgeben lassen

Zusätzlich ist bei Textareas das Problem, wenn </textarea> eingegeben und wieder ausgegeben wird.
 
Bilder bitte hier hochladen und danach über das Bild-Icon (Direktlink vorher kopieren) platzieren.
Antworten auf deine Fragen:
Neues Thema erstellen

Willkommen auf PSD-Tutorials.de

In unseren Foren vernetzt du dich mit anderen Personen, um dich rund um die Themen Fotografie, Grafik, Gestaltung, Bildbearbeitung und 3D auszutauschen. Außerdem schalten wir für dich regelmäßig kostenlose Inhalte frei. Liebe Grüße senden dir die PSD-Gründer Stefan und Matthias Petri aus Waren an der Müritz. Hier erfährst du mehr über uns.

Stefan und Matthias Petri von PSD-Tutorials.de

Nächster neuer Gratisinhalt

03
Stunden
:
:
25
Minuten
:
:
19
Sekunden
Zu den Gratis-Inhalten

Neueste Themen & Antworten

Flatrate für Tutorials, Assets, Vorlagen

Zurzeit aktive Besucher

Gesamt: 74 (Mitglieder: 6, Gäste: 68)
Robots: 700

Statistik des Forums

Themen
118.611
Beiträge
1.538.341
Mitglieder
67.524
Neuestes Mitglied
BSKGA
Oben