Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Scripts aus html datei filtern

0 views
Skip to first unread message

Harald Stowasser

unread,
Jun 27, 2000, 3:00:00 AM6/27/00
to
Hi,

ich erlaube unseren Kunden Produktbeschreibungen per Upload auf unseren
Server zu schicken. Diese Dateien werden dann über die 'include'
anweisung in unser System eingebunden.

Das bringt jedoch ein riesiges Sicherheits-Risiko. Wie kann ich
verhindern das in diesen Dateien keine php/Java/VB-skripts, JavaApplets
oder ActiveX-componenten sind. Sondern nur reinstes html oder plain
Text?

--
--- . --- >Harald Stowasser
/ | | -Unidat >Fa. ZiT Unidat
--- - - >http://www.zitunidat.de/
>http://www.med-produkte.de/

Alexander - LX - Schmidt

unread,
Jun 27, 2000, 3:00:00 AM6/27/00
to
Harald Stowasser <h...@zitunidat.de> schrieb:

> Wie kann ich verhindern das in diesen Dateien keine
> php/Java/VB-skripts, JavaApplets oder ActiveX-componenten
> sind. Sondern nur reinstes html oder plain Text?

für plaintext: http://php3.de/manual/function.strip-tags.php

oder aber: http://php3.de/manual/function.htmlentities.php

bei der zweiten Möglichkeit sieht man dann allerdings alle
HTML-Tags (also auch <script ...> etc.) in Reinform.

aLeX!

--
[ planet LX - the gaLaXy of sonic experiences : ]
[ http://www.planet-lx.de | http://www.mp3.de/home/lx ]
[ mailto:l...@planet-lx.de | mailto:m...@il-an-lx.de ]

Harald Stowasser

unread,
Jun 27, 2000, 3:00:00 AM6/27/00
to
Alexander - LX - Schmidt schrieb:
> für plaintext: http://php3.de/manual/function.strip-tags.php
einige sollten schon noch drinn sein
sonst geht ja die formatierung flöten.

> oder aber: http://php3.de/manual/function.htmlentities.php
>
> bei der zweiten Möglichkeit sieht man dann allerdings alle
> HTML-Tags (also auch <script ...> etc.) in Reinform.

eben. Sowas wollte ich eigentlich nicht. Das Html sollte schon noch
vorhanden sein. Aber halt OHNE Aktive elemente.

Alexander - LX - Schmidt

unread,
Jun 27, 2000, 3:00:00 AM6/27/00
to
Harald Stowasser <h...@zitunidat.de> schrieb:

> Alexander - LX - Schmidt schrieb:
> > für plaintext: http://php3.de/manual/function.strip-tags.php
> einige sollten schon noch drinn sein
> sonst geht ja die formatierung flöten.

dann klick nochmal auf obigen Link und schau Dir den zweiten,
optionalen Parameter genau an, Stichwort: "allowable Tags" ;o)

Harald Stowasser

unread,
Jun 27, 2000, 3:00:00 AM6/27/00
to

Alexander - LX - Schmidt schrieb:

> dann klick nochmal auf obigen Link und schau Dir den zweiten,
> optionalen Parameter genau an, Stichwort: "allowable Tags" ;o)

Note: Allowable_tags was added in PHP 3.0.13, PHP4B3.
mein Provider: PHP Version 3.0.11
*wein*

Bjoern Hoehrmann

unread,
Jun 27, 2000, 3:00:00 AM6/27/00
to
* Harald Stowasser wrote in de.comp.lang.php:
>Das bringt jedoch ein riesiges Sicherheits-Risiko. Wie kann ich

>verhindern das in diesen Dateien keine php/Java/VB-skripts, JavaApplets
>oder ActiveX-componenten sind. Sondern nur reinstes html oder plain
>Text?

Gar nicht. Zumindest JavaScript verlässlich filtern geht nicht. Guck Dir
dazu an, was du zum Thema CSS und generelle JavaScript<->Browser Bugs
finden kannst.
--
Björn Höhrmann · mailto:bjo...@hoehrmann.de · http://www.bjoernsworld.de
am Badedeich 7 · Telefon: +49(0)4667/981ASK · http://bjoern.hoehrmann.de
25899 Dagebüll · PGP KeyID: 0xA4357E78 · http://learn.to/quote <---

Alexander - LX - Schmidt

unread,
Jun 27, 2000, 3:00:00 AM6/27/00
to
Harald Stowasser <h...@zitunidat.de> schrieb:

> Note: Allowable_tags was added in PHP 3.0.13, PHP4B3.
> mein Provider: PHP Version 3.0.11 *wein*

Schreib ihm doch mal eine nette Support-Mail ;o)
(auch mit Hinweisen, wie clever doch ein Update
auch in Hinsicht auf [Sicherheits-?] Bugs wäre) *g*

0 new messages