Startseite · Projekte · Kontakt · Impressum

Nur strip_tags() reicht nicht aus

Datum: 27.11.2008 , Kategorie: PHP, Scripte

Dass Benutzereingaben kontrolliert und gefiltert werden müssen ist nicht neu. Machen wir bei allen unseren Scripten so. Meistens werden die Daten bei der Ausgabe an den Browser mit Hilfe von htmlentities() "gesichert". Alles, was möglich ist, wird dabei in HTML-Entities umgewandelt. > wird zu >, " wird zu ", und so weiter.

Als wir das Kommentar-Script seinerzeit entwickelten, haben wir die Umwandlung an den Anfang gesetzt - die Daten kamen so schon konvertiert in der Datenbank an. Irgendwann zwischen damals und heute haben wir htmlentities() durch strip_tags() ausgetauscht. Warum, weiß keiner mehr so genau. Normalerweise verwenden wir eine Kombination aus beiden Funktionen, um ganz sicher zu gehen.

strip_tags() allein zu verwenden, sollte sich als großer Fehler herausstellen. strip_tags() entfernt, wie der Name schon sagt, HTML-Tags und auch PHP-Tags. Alles andere - JavaScript-Code oder CSS-Styles zum Beispiel - bleibt bestehen. Resultat war, dass Nutzer sich bei uns meldeten. Hacker hätten Code eingeschleust und die gesamte Seite zu einem Link gemacht. Über den Admin-Bereich konnte der Kommentar noch nicht einmal gelöscht werden, da das Script gar nicht mehr auf die anderen Links reagierte.

Das Update und Veröffentlichung im Forum war schnell erledigt. Schließlich haben wir ja schon Erfahrung damit. ;-)

Zurück

Vorherige: Script noch verfügbar?
Nächste: Google-Verweise in Weblog Expert nach .de und .com trennen

Kommentare (4)

*hust*. Soll dass jetzt heißen dass ihr keine Validierung habt vor der Eingabe in die SQL-Datenbank (z.B. mysql_escape_string)? strip_tags halte ich für unpraktisch und überflüssig, html_entities sorgt wunderbar dafür dass Benutzer (oder halt Angreifer) alles an Zeichen verwenden könnnen was ihnen einfällt, dass ganze im Browser aber einfach nur als Text angezeigt und nicht interpretiert wird. Allerdings setze ich normalerweise html_entities erst bei der Ausgabe ein, und nur das notwendige mysql_escape_string zu Beginn, vor dem Speichern in der DB.
#1 - jr - 27.11.2008 - 15:01
> Soll dass jetzt heißen dass ihr keine Validierung habt > vor der Eingabe in die SQL-Datenbank > (z.B. mysql_escape_string)? Nein, soll es nicht. ;-) Es ging wirklich nur um HTML-Tags. Die Prämisse war und ist, von vornherein jeden Schnipsel HTML-Code zu entfernen. Das ist möglicherweise etwas zu restriktiv, aber aufweichen kann man das immer noch.
#2 - Ralf - 28.11.2008 - 00:32
Kommt halt immer auf das Einsatzgebiet an. Bei einem Commentscript zu HTML oder sonstigen Codeschnipseln ist es recht praktisch wenn die Benutzer auch dementsprechende Zeichen verwenden können. Unsinnige Lösungen gibts aber auch oft genug. Garnicht lange her, da hab ich was gesehen dass hat zuerst html_entities und dann strip_tags verwendet. Da könnte man sich dass mit strippen dann auch sparen :P
#3 - jr - 28.11.2008 - 18:38
> Bei einem Commentscript zu HTML oder sonstigen > Codeschnipseln ist es recht praktisch wenn die > Benutzer auch dementsprechende Zeichen verwenden > können. Yep, es wird der Zeitpunkt kommen, an dem genau das ein Problem hier sein wird. Zwar nur ein kleines, aber immerhin. ;-)
#4 - Ralf - 29.11.2008 - 00:46

Abonnieren Sie unseren Feed:   RSS Feed RSS Feed  Atom Feed Atom Feed

.