Schutz vor Javascript im Gästebuch

W

WarpMan

Grünschnabel
Mahlzeit!

Ich schreibe derzeit ein Gästebuch in PHP und möchte unter anderem eine Funktion einbauen, die es dem Admin ermöglicht, HTML im Eintrag zu erlauben. Da die Benutzer des Gästebuch's es dann allerdings mittels Javascript etc. verunstalten können, wollte ich einen Schutz dagegen einbauen.
Allerdings muss ich, um einen Schutz zu entwickeln, erst einmal wissen wie genau diese schädlichen Javascripte aussehen (um kritische Elemente dann mittels eregi_replace() rauszufiltern).

Wenn jemand weiß wie man mit Javascript Gästebücher verunstaltet, oder Links zu Seiten mit solchen Infos kennt: Immer her damit :)
Wer bedenken hat sowas hier im Forum zu schreiben kann mir auch mailen.

Danke im voraus :)
 
Naja,indem man zb. sowas macht <script>alert("du idiot")</script>

Verhindern kannst du sowas zb. in dem du bei jedem Beitrag den noscript tag setzt und zur SIcherheit vorher noch strip_tags() über den eintrag laufen lässt.
 
Mit Javascript kannst du fast alles machen, du kannst z.B.:

- Fenstergröße ändern,
- Fenster ohne Nachfrage schließen,
- den Bildschirm mit Popups vollkleistern,
- die Schrift des gesammten Gästebuchs unlesbar klein/groß machen,
- ...


Mehr ist mir im Moment nicht eingefallen, aber ich würd' dir empfehlen Javascript zu verbieten.
 
Sowas?

PHP: 
$beitrag = str_replace("<script", "<!--", $beitrag);
$beitrag = str_replace("</script>", "-->", $beitrag);

Hier ist allerdings das Problem, dass, wenn der </script>-Tag nicht geschlossen wird, alles was nach diesem Eintrag kommt, vom Browser als Kommentar verarbeitet wird!
Musst du halt nach </script> suchen lassen und wenn nix gefunden wird irgendwo ein --> setzten.
Musst halt a bissl rumprobieren!
 
Wenn ich mir das genau begucke sollte ich nicht nur einzelne Sachen rausfiltern sondern wirklich gleich Javascript verbieten (noscript) und nur einige HTML-Tags erlauben (strip_tags()), wie THE REAL TOOLKIT auch schon gesagt hat.
Sowas wie <iframe> sollte schließlich auch nicht vorkommen...

Nochmals Danke für eure Hilfe :)
 
Aber man kann ja auch Funktionen ausserhalb des <script>-Tags ausführen, daran solltest du auch denken.
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück