"Hacker" kam in den Chat! Was tun?
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
anweisung
automatische weiterleitung
code
darstellung
datei
fang
frage
geschrieben code
http
manual
message
nachricht
passieren
richtige begriff
sorgen
tag
url
verwenden
zeichen
zeile
-
Naja, Hacker ist eigendlich nicht der tag/richtige begriff">richtige Begriff, ich würde es ehr einen interlegenten Spamer nennen. Aber ich fang mal lieber von vorne an.
Gestern Abend ist ein User in meinen Chat gekommen, der es geschaft hat, eine automatische Weiterleitung zu generieren. Dazu benötigt man allerdings die Tag-Zeichen ( < und > ), diese habe ich "gesperrt", damit genau sowas nicht passieren kann (sollte eigendlich). Dazu habe ich diesem PHP-Code geschrieben:
if($html==0) { $message = str_replace('<', '<', $message); $message = str_replace('>', '>', $message); } if($html==0) { $nickname = str_replace('<', '<', $nickname); $nickname = str_replace('>', '>', $nickname); }
Die Variable $html kommt aus einer Konfigurations-Datei, die weiter oben includet wird und steht entweder auf 1 oder 0 (ein, oder aus). Das Script soll dafür sorgen, dass sowohl in der Nachricht, als auch im Username die Tag-Zeichen umgewandelt werden und nurnoch zu Darstellung verwendbar sind.
Ich lösche sie nicht, damit man den Code noch erkennen kann.
Nun meine Frage: Gibt es eine Möglichkeit, dass man einen Code schickt, der nicht damit umgewandelt wird? Viellecht eine 2. Möglichkeit anstatt die Tag-Zeichen zu verwenden?
Ich freue mich auf jede Antwort, die mithilft meinen Chat sicherer zu machen.
mfg drafed-map -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
hmm auf deine frage generell antworten kann ich dir leider auch nicht, du solltest aber auch ' und " codieren, vielleicht auch noch den strichpunkt ;
-
für das gibt es die Function htmlspecialchars()
http://www.php.net/manual/de/function.htmlspecialchars.php -
Ja, aber ich will ja nicht nur HTML ausschliesen, sondern auch Javascript, Meta-Anweisungen usw.
-
naja... dann beginnt die zeile ja auch mit <script> etc. damit kann dann auch javascript nicht verwendet werden...
-
Danke! Ich hab die Funktion eingebaut!
mfg
drafed-map
Edit: Aber ich verstehe immernochnicht, wie es trotzdem < und > verwenden konnte, und damit eine meta-anweisung amchen konnte.
Beitrag zuletzt geändert: 16.2.2009 17:37:42 von drafed-map -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage