luser32 Skrevet 13. januar 2006 Del Skrevet 13. januar 2006 Jeg vil gjerne øke sikkerheten i gjestebok-scriptet mitt ved å "skru av" HTML-tags. Og kanksje legge inn slike tags som man bruker på dette forumet isteden. Kan noen enkelt folklare hvordan dette gjøres? Eller noen som vet om en fin tutorial:) Lenke til kommentar
Loomy Skrevet 13. januar 2006 Del Skrevet 13. januar 2006 For å oversette HTML-tags slik at det vises som <h1>Hei!</h1> istedenfor.. Hei! ...kan du bruke htmlspecialchars() BBcode-tutorials finner du overalt. Lenke til kommentar
Cucum(r) Skrevet 13. januar 2006 Del Skrevet 13. januar 2006 Evt. bruke strip_tags() Lenke til kommentar
luser32 Skrevet 13. januar 2006 Forfatter Del Skrevet 13. januar 2006 Takker:) Skal sjekke litt på php.net om de funskjonene så får vi se hva det blir til:) Lenke til kommentar
luser32 Skrevet 13. januar 2006 Forfatter Del Skrevet 13. januar 2006 Okei, la inn strip_tags() i koden min for å øke sikkerheten litt. Kan dere ta en titt på koden jeg bruker nå, og se om det er noen sikkerhets-hull som gjøre det enkelt å bruke XSS i gjesteboka enda? while ($myrow = mysql_fetch_array($result)) { ?> <div align="center"> <div id="cbox_top"> <div id="cbox_cnt" align="left"><strong>Skrevet av: <?php echo strip_tags($myrow["navn"]); ?></strong></div> <div id="cbox_cntsub" align="left">Skrevet: <?php echo $myrow["dato"]; ?></div> </div> <div id="cbox_mid"> <div id="cbox_main" align="left"> <?php echo strip_tags(nl2br($myrow["kommentar"])); ?> </div> </div> </div> <?php } Lenke til kommentar
Arne Skrevet 13. januar 2006 Del Skrevet 13. januar 2006 Du kan og bruke htmlentities(). Lenke til kommentar
Zic0 Skrevet 14. januar 2006 Del Skrevet 14. januar 2006 echo strip_tags(nl2br($myrow["kommentar"])); Tror den er feil... nl2br må vel være OVER strip_tags eller så vil jo den stirppe alle <br> også. Stemmer vel det? Det blir vel sånn: echo nl2br(strip_tags($myrow["kommentar"])); Lenke til kommentar
luser32 Skrevet 14. januar 2006 Forfatter Del Skrevet 14. januar 2006 Ja LoL, takker=) Endret det nå Lenke til kommentar
Cizza Skrevet 14. januar 2006 Del Skrevet 14. januar 2006 Det har allerede blitt nevnt fullt brukendes funksjoner til å fjerne HTML-kode så jeg skal ikke komme med flere forslag. Jeg vil bare kommentere bruken av funksjonene. Nå har du plassert disse funksjonene på den siden som viser innleggene. En enda bedre løsning er å plassere funksjonene på den siden hvor brukerene skriver innleggene. Det gjør at "farlig" kode aldri havner i databasen. Lenke til kommentar
luser32 Skrevet 15. januar 2006 Forfatter Del Skrevet 15. januar 2006 Takk for det:) Fikser det med en gang. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå