Hey Leute,
Was ich versuche, klingt denkbar einfach, klappt aber noch nicht so 100%-ig.
Ich gebe meinen Usern die Möglichkeit mittels eines editor einen Beschreibungstext zu verfassen. Dieser muss natürlich nach dem Absenden ncoh auf Böswilligkeiten überprüft werden
Dabei sind gewisse HTML-Tags erlaubt, und bestimmte nicht. Es darf zum Beispiel keine Bilder, andere Medien-Elemente geben, ebenso kein Javascript.
Die Liste der erlaubten Tags ist überschaubar. Nun ist mir durchaus bewusst wie ich das grundsätzlich angehen würde, nämlich mittels
Damit fliegen zumindest erstmal sämtliche <script> Tags oder sowas raus, und stellen keine gefahr mehr dar. (oder?!) Alle erlaubten Tags, kann ich ja dort rausnehmen.
Laut Doku dürfte auch PHP damit kein Thema mehr sein. (<?php bzw. <? soltle ja eig. mit entfernt werden)
mein Problem ist eine der Warnungen aus der Doku.
ZitatWarnung
Diese Funktion modifiziert keine Attribute bei Tags, die via allowable_tags erlaubt wurden, dies betrifft auch style und onmouseover Attribute, die ein böswilliger User verwenden kann, um einen Text zu posten, der von anderen Usern gesehen werden soll.
Damit wäre es nach meinem verständniss wiederrum möglich in z.B. onclick-Events Schadcode auszuführen.
Nun endlich mal zu meinen konkreten Fragen:
1. Hat jemand eine Idee wie ich sämtliche unerwünschten Attribute aus allen tags entferne??
2. Reicht die Ausführung von "strip_tags" aus um den Code als "sicher" anzusehen, oder sollte man wietere validierungen vornehmen?
Eine weitere Filterung ist jhalt schwierig, da ja die erlaubten Tags nicht verändert werden sollen (bis auf die Attribute)
Hoffe es ist verständlich was mien Problem ist
MfG Kanu