Hallo Rolf,

Wenn User auf einer Seite URLs hinterlassen können, die beim Abruf der Seite automatisch wirksam werden, ist Schabernack in jeder beliebigen Menge möglich. Wenn die User auch noch beliebiges HTML hinterlassen können, ist deine Seite lebensgefährlich. Ich sag nur: <script>.

Wenn Du in deinen User-Eingaben die Zeichen <, > und & findest, dann musst Du sie durch &lt;, &gt; und &amp; ersetzen. Kein User-HTML, niemals. Wenn der User ein Bild in seinen Footer einbauen will, erschaffe eine eigene Syntax.

Halt, stop, wer sagt denn Sowas? <, > werden bisher jetzt schon umgewandelt und der einzige User, der Links (außer seiner eigenen, mir bekannten Homepageadresse) hinterlassen kann, bin ich selber. Meine eigenen Links laufen über eine Art "BB-Code", die ich dann abhängig vom Adressaten in Links oder Entsprechendes wandle.

Soweit bisher.

Ich wollte nun Links für User freigeben und die sollen über ein Refererscript gehen. Und ich dachte daran, Bilder frei zu geben.

Was ist daran verwerflich oder gefährlich? Von HTML freigeben war nie die Rede.

Jörg