kostenloser Webspace werbefrei: lima-city


"Hacker" kam in den Chat! Was tun?

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    drafed-map

    Kostenloser Webspace von drafed-map

    drafed-map hat kostenlosen Webspace.

    Naja, Hacker ist eigendlich nicht der tag/richtige begriff">richtige Begriff, ich würde es ehr einen interlegenten Spamer nennen. Aber ich fang mal lieber von vorne an.


    Gestern Abend ist ein User in meinen Chat gekommen, der es geschaft hat, eine automatische Weiterleitung zu generieren. Dazu benötigt man allerdings die Tag-Zeichen ( < und > ), diese habe ich "gesperrt", damit genau sowas nicht passieren kann (sollte eigendlich). Dazu habe ich diesem PHP-Code geschrieben:

    if($html==0) {
    $message = str_replace('<', '&lt;', $message);
    $message = str_replace('>', '&gt', $message);
    }
    
    if($html==0) {
    $nickname = str_replace('<', '&lt;', $nickname);
    $nickname = str_replace('>', '&gt', $nickname);
    }




    Die Variable $html kommt aus einer Konfigurations-Datei, die weiter oben includet wird und steht entweder auf 1 oder 0 (ein, oder aus). Das Script soll dafür sorgen, dass sowohl in der Nachricht, als auch im Username die Tag-Zeichen umgewandelt werden und nurnoch zu Darstellung verwendbar sind.

    Ich lösche sie nicht, damit man den Code noch erkennen kann.




    Nun meine Frage: Gibt es eine Möglichkeit, dass man einen Code schickt, der nicht damit umgewandelt wird? Viellecht eine 2. Möglichkeit anstatt die Tag-Zeichen zu verwenden?





    Ich freue mich auf jede Antwort, die mithilft meinen Chat sicherer zu machen.


    mfg drafed-map
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. projektverwaltung

    projektverwaltung hat kostenlosen Webspace.

    hmm auf deine frage generell antworten kann ich dir leider auch nicht, du solltest aber auch ' und " codieren, vielleicht auch noch den strichpunkt ;
  4. für das gibt es die Function htmlspecialchars()

    http://www.php.net/manual/de/function.htmlspecialchars.php
  5. Autor dieses Themas

    drafed-map

    Kostenloser Webspace von drafed-map

    drafed-map hat kostenlosen Webspace.

    Ja, aber ich will ja nicht nur HTML ausschliesen, sondern auch Javascript, Meta-Anweisungen usw.
  6. naja... dann beginnt die zeile ja auch mit <script> etc. damit kann dann auch javascript nicht verwendet werden...
  7. Autor dieses Themas

    drafed-map

    Kostenloser Webspace von drafed-map

    drafed-map hat kostenlosen Webspace.

    Danke! Ich hab die Funktion eingebaut!:thumb:



    mfg

    drafed-map



    Edit: Aber ich verstehe immernochnicht, wie es trotzdem < und > verwenden konnte, und damit eine meta-anweisung amchen konnte.

    Beitrag zuletzt geändert: 16.2.2009 17:37:42 von drafed-map
  8. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!