AbBa: Textarea "Überprüfen"

Hallo "da bin ich wieder".

Ist es möglich, bie einem textarea zu überprüfen, objemand was bestimmtes hineinschreibt?
Ich hab mal versucht ein Forum zu machen, doch leider
kann man scripts posten...
Ich meine jetzt nicht prüfen ob value vom input
gleich der Text ist. Sondern ob der Text
(in diesem falle: <script>) enthalten ist.

  1. Tschuldige ausversehen falsches Thema.
    Sollte in Javascript rein.

    1. Hab noch eine bessere Idee:
      Ist es möglich Javascripts auszuschalten?
      Also wie <body script=no> oder so?

      1. Du kannst auf JS in deiner Webseite verzichten, mehr geht nicht,srry.

        MFG
        bleicher

        --
        __________________________-
        Menschen an sich , sind nicht schlecht - es sind nur ihre Taten (c).
        Lieber bereuen gesündigt zu haben, als nicht sündigen und es später trotzdem bereuen.
        Boccaccio
        1. Okay danke.
          Ich hatte vor das mit Javascript zu machen, aber das
          ist ja mal wieder ein Traum :D
          Dann müssen wir mal wieder ans schwere.

          1. Okay danke.
            Ich hatte vor das mit Javascript zu machen, aber das
            ist ja mal wieder ein Traum :D
            Dann müssen wir mal wieder ans schwere.

            Mooment - woher Stammt der cript der die Einträge serverseitig verarbeitet/speichert? Ist da vllt was voreingebaut - evtl steht im handbuch/readme wie man den tagschutz aktiviert?

            MFG
            bleicher

            --
            __________________________-
            Menschen an sich , sind nicht schlecht - es sind nur ihre Taten (c).
            Lieber bereuen gesündigt zu haben, als nicht sündigen und es später trotzdem bereuen.
            Boccaccio
            1. das klingt eher nach 'Ich bau mir eins selbst' Ergo wird es nichts derartiges geben.

              Daher ja auch meine Frage, warum er kein fertiges Tool einsetzt. Sollte Die Antwort sein, dass er ein neues Forum entwickeln moechte, dann verziehe ich hiermit offiziell das Gesicht und merke an, dass er noch viel zu lernen hat.

              Das erinnert mich irgendwie auch an Deine Aufforderung zum Sicherheitscheck deiner Seite. :D Soweit sollte er erstmal kommen.

              1. Das erinnert mich irgendwie auch an Deine Aufforderung zum Sicherheitscheck deiner Seite. :D Soweit sollte er erstmal kommen.

                share ur exp!*MMROPGisch*

                ich kann ihm den Quellcode den cih habe mit komentaren spenden - als Beispiel für die Fehler die er zu vermeiden hat wird es allemal taugen ;)

                MFG
                bleicher

                --
                __________________________-
                Menschen an sich , sind nicht schlecht - es sind nur ihre Taten (c).
                Lieber bereuen gesündigt zu haben, als nicht sündigen und es später trotzdem bereuen.
                Boccaccio
  2. Hi,

    Hallo "da bin ich wieder".

    Ist es möglich, bie einem textarea zu überprüfen, objemand was bestimmtes hineinschreibt?

    Natürlich kann man das.
    Aber es kommt auf deine Serverseitiges System (welche Sprache?) drauf an, was diese akzeptiert und wie sie es dann weiter verarbeitet. (Man kann/sollte zwar auch vor dem Abschicken via JavaScript eine Vorprüfung machen, aber die ist nicht sicher, da jemand der es drauf anlegt, dies natürlich abschalten kann.)

    Hilfreich ist eine Prüfung der Eingabeparameter, die du über den QUERY_STRING erhältst, indem du in den Parameter für das Texteingabefeld nur das zuläßt was du explizit erlaubt hast.
    Das können z.B. nur Buchstaben, Zahlen und gewisse Sonderzeichen sein.

    Als RegExp in Perl z.B. so:

    $in{'texeingabefeld'} =~ s/[^a-z0-9.-_,;!:?()\s\n]+//gi;

    Das macht alles weg, was nicht in der angegebenen Liste ist.
    Also auch die spitzen Klammern um etwaigen HTML-Befehlen.

    Ciao,
      Wolfgang

  3. Hallo "da bin ich wieder".

    Ist es möglich, bie einem textarea zu überprüfen, objemand was bestimmtes hineinschreibt?
    Ich hab mal versucht ein Forum zu machen, doch leider
    kann man scripts posten...
    Ich meine jetzt nicht prüfen ob value vom input
    gleich der Text ist. Sondern ob der Text
    (in diesem falle: <script>) enthalten ist.

    Auf welchem Niveau?
    Bereits beim User ist es sinnlos - abgeschaltetes JS maht dein "SChutz" unwirksam. Was du brauchst ist PHP-Filter.
    Wenn du dich mit PHP bereits ein wenig auskennst:

    schau bei php.net nach

    htmlentities() und strip_tags()

    hoffe das hilft

    MFG
    bleicher

    --
    __________________________-
    Menschen an sich , sind nicht schlecht - es sind nur ihre Taten (c).
    Lieber bereuen gesündigt zu haben, als nicht sündigen und es später trotzdem bereuen.
    Boccaccio
    1. echo $begrüßung;

      Was du brauchst ist PHP-Filter.
      htmlentities() und strip_tags()

      Beides kann mehr Nachteile und Nebenwirkungen haben als gewünscht.

      strip_tags() schnappt sich alles, was irgendwie nach Tag aussieht, auch gutartige Konstrukte. Ebenso verschwindet damit gewollter HTML-Code, den vielleicht jemand als Beispiel oder zur Problemdarstellung posten will.

      htmlentities() geht schon in eine richtige Richtung, ist aber sicherlich zu viel des Guten, weil es sich um jede Menge Zeichen kümmert. Es reicht im Allgemeinen aus, nur die Zeichen < und > HTML-gerecht auszugeben, und das erledigt die Funktion htmlspecialchars().

      Werden < und > HTML-gerecht ausgegeben, kann man zwar immer noch jede Menge Unsinn eingeben, nur hat dieser keine Auswirkungen mehr auf den eigentlichen HTML-Code der Seite. Das komplette Verhindern von Unsinnseingaben mittels technischer Maßnahmen ist aber ein sowieso aussichtsloses Unterfangen. Möchte man sein Forum "sauber" haben (was auch immer jeder persönlich darunter versteht) hilft nur regelmäßige Inhaltskontrolle.

      echo "$verabschiedung $name";

  4. Hi!

    Ja, natuerlich geht das. Mit Javascript solltest du search() verwenden. Du solltest die spitzen Klammern mit deren HTML Codes maskieren.

    Aber damit hast Du leider gar nichts erreicht. Wenn Du ein Forum programmierst (waru mnutzt du kein Open Source Produkt?) solltest du jede Nutzereingabe immer serverseitig (z.b. per php) ueberpruefen. Tust du das nicht, produzierst Du eine einzige sicherheitsluecke. PHP bietet hierfuer auch schoene Funktionen, mit denen man z.B. HTML Tags entfernen kann.

  5. Hallo AbBa,

    Ist es möglich, bie einem textarea zu überprüfen, objemand was bestimmtes hineinschreibt?
    Ich hab mal versucht ein Forum zu machen, doch leider
    kann man scripts posten...

    Wenn Du ein Forum geschrieben hast, hast Du dafür wohl eine serverseitig verarbeitete Sprache, beispielsweise PHP verwendet.
    Um das Posten solcher Scripts zu vermeiden, bringt es nun nichts, mit Javascript zu überprüfen, was in dem Textfeld steht, da man das immer umgehen kann (z.B. in dem man Javascript abschaltet oder sogar direkt ohne Browser Anfragen an den Webserver sendet).
    Du musst also eine Lösung auf der Serverseite finden.

    Dafür gibt es zwei Ansätze: Gefährliche Dinge verbieten oder gefährliche Dinge ungefährlich machen. Ersterer Ansatz ist meist schlechter. Oft will man ja, dass Scripte eingegeben werden können (hier wäre es ja auch sehr nervig, wenn das nicht ginge).
    Den zweiten Ansatz kann man umsetzen, indem man einfach die Zeichen, die in HTML Markup markieren <>& durch &lt; &gt; &amp; ersetzt. Üblicherweise gibt es dafür eine Funktion, die das erledigt.

    Für PHP wären das die Funktionen htmlspecialchars und htmlentities.

    Generell sollte man praktisch immer, wenn man irgendwelche vom Anwender eingegebenen Daten ausgibt, in der Datenbank speichert, oder sonst irgendwo hin weiterreicht, wo sie gefährlich werden könnten, entsprechend codieren lassen.

    Grüße

    Daniel