Beiträge von kanufrosch

    Hey,


    ich tippe darauf, dass das die falsche Bilder-Url ist. das sieht nach einem absoluten Serverpfad aus, und das kann meines erachtens nicht funktionieren...


    CSS
    background-image: url("/WebRoot/Store16/Shops/78057350/MediaGallery/shop/img/listing_bg.gif");


    ich tippe auf irgendwas wie


    CSS
    background-image: url("/shop/img/listing_bg.gif");


    Du darfst den Pfad denke ich eigebntlich erst ab da beginnen, wo deine Domain hinverweist, den höher als die Domain, kann css ja nciht zugreifen ;)


    Kanu

    Hey,


    hab es leider nciht installiert, aber versuche mal in den installationsordern (irgendwas wie: "C:\Programme\Scriptly") von Scriptly zu gucken, ob dort nciht vlt. eine uninstal.exe oder so hinterlegt ist, wenn ja verscuhe diese. Wenn nein würde ich gucken, ob ein externes Programm es vlt. als installiert auflistet, irgendwas ala CCleaner oder so...


    Viel mehr fällt mir spontan auch nciht ein..:


    MfG Kanu


    Frohes Fest wünsche ich :)

    Hey,
    Also, was Laura meint, sind keine kleinen Fehler mit css oder so, sondern ganz gravierende Verstöße gegen HTMl-Vorschriften.



    Hier ist deine rster Fehler, ein <td> darf nämlich nur innerhalb eines <tr> stehen, denn eine Zelle kanne s nur inerhalb einer Reihe geben.

    HTML
    <form action="http://www.formular-chef.de/fc.cgi" method="post" enctype="multipart/form-data">


    Nächster Fehler: Inhalte, egal welcher Art (außer Tabellen-Elemente) dürfen in einer Tabelle nur innerhalb von <td> oder <th> stehen. (und diese wiederrum nur in einem <tr>...


    HTML
    <textarea name="fName" rows="5" cols="40" wrap="hard">
     </textarea></p>


    Ein Atribute mit dem Namen wrap kenne ich nicht, und ist auch kein Standard img HTML...
    Dies ist ein mehrzeiliges Textfeld, welches &uuml;ber den TEXTAREA-Tag erzeugt wird.
    Außerdem schließt du einen Absatz, den du vorher nie begonnen hast...

    HTML
    <input type="hidden" name="empfaenger" value="gborn@born.de" />


    self-closing-Tags sind hier so nicht erlaubt. außerdem befindet sich dein input-Feld wieder nicht innerhalb eines <td> oder <th>...

    HTML
    </form>
      <table  style="width:595pt; height:97pt;">


    Hier öffnest du jetzt eine neue Tabelle, WIESO ?(?(
    Wenn du deine Tabelle schließen möchtest benutze </table>


    Ich würde dir nahelegen, dich noch einmal mit Tabellen zu beschäftigen, http://www.html-seminar.de/html-tabellen.htm, damit wäre dein Code vermutlich 300% richtiger...


    Sorry aber insgesamt sind in deinem Code mehr Fehler als richtige Zeilen vorhanden, schreib ihn besser von Grund auf neu. :whistling::whistling:


    MfG Kanu

    Regex ... wir mögen uns gegenseitig nicht :D
    Hab Gestern oder Vorgestern erst versucht mit regex eine Zeichenkette auseinander zu nehmen.
    Hab dann aber festgestellt, dass es mit explode übersichtlicher und einfacher (für mich :D) wird.


    ^^ Habe ich mich auch lange schwer mit getan, aber irgendwann kam ich nicht mehr drum rum ^^ Wenn man dann irgendwelche eigenen URL mittels der htaccess machen will oder so, gibt es haklt nicht mehr immer fertige Codes...
    Und wenn man es einmal begriffen hat geht es eigentlich auch ;)


    Noch bin ich zu keiner gänzlich zufriedenstellenden Alternative gekommen, aber naja, wird schon noch :D

    Der Text den ich zu validieren suche, kommt aus dem Editor TinyMCE. Da kann ich ganz gut sichergehen, das gewisse Konstrukte nicht vorkommen...
    Aber ich teste auch gerade noche ine Lösung über Pattern mittels RegEx...
    Mal sehen ob das noch was wird...^^


    Und die böswilligen Attribute werden gefiltert ;)

    Hey nochmal ;)


    Da ich aber nun vor dem Problme stand, keine Attribute zulassen zu können. (Farben etc. müssen leider auch erlaubt sein...) Hab ich doch nochmal weiter gesucht, und bin auch eine Lösung gefunden, die ich ähnlich schon einmal gefunden hatte (sogar schonmal benutzt habe :rolleyes: ) Und die das Problem eig. sehr gut löst:


    Quelle: http://stackoverflow.com/quest…tributes-from-an-html-tag



    Auch hier wird alles maskiert bzw. entfernt, was nciiht auf das Muster meiner erlaubten tasg bzw. Attribute passt, so das auch das Problem neuer Tags keine Gefahr darstellen sollte.


    Ich werde es noch großzügig testen,aber denke so in der Art wird es meine Endlösung :)


    MfG Kanu


    PS: Ich weiß, auch diese Lösung arbeitet wieder mit strip_tags, aber ich bin in dem Fall einfach bereit der ufnktion zu vertruene, das sie wirklich alles maskiert, was kein allowable_tag ist...
    Mir ist zwar auch noch eine andere Lösung via "Platzhalter" eingefallen, aber diese wäre momentan etwas sehr oversized für mein Problem...

    Erstmal DANKE :D


    Immer Filtern auf was Du erlauben möchtest, Nicht auf das, was Du nicht möchtest.


    Okay, das werd ich wohl jetzt auch nie wieder vergessen :thumbup:
    Ist eig. irgendwie sehr naheliegend, kam mir aber irgendwie nicht in den Kopf :D:D



    Zur Sache:
    Das einfachste wäre, Du erlaubst gar keine Ausführung von code.
    Das würdest Du mit htmlspecialchars() erreichen.
    Wie: gnadenlos JEDES einzelne Zeichen das irgendwo im Browser ausgegeben wird mit htmlspecialchars maskieren. Egal, ob es aus Deiner eigenen DB kommt, oder über POST.


    Bekannt, aber das steht leider nicht zur Wahl ^^



    Wenn Du aber bestimmte tags erlauben möchtest, dann fällt mir auf Anhieb das Stichwort "Platzhalter" ein.


    Wäre mir dieses Stichwort eingefallen wäre, hätte dir das vermutlich viel Zeit gespart :D:D


    Danke für das Code-Snippet ^^^^


    9,99€ 8|8| Billig ist anders :!::!::P:P


    Spaß :)


    Manchmal frage ich mich wofür zur Hölle ich Informatik studieren, wenn ich dort eig. nix lerne was mir im Produktiv-Einsatz hilft :rolleyes::rolleyes: (Theorie in allen ehren, aber ernsthaft...)


    Aber egal DAAANKEEE :D:D


    EDIT: PS: Verdammt waren das viele Smileys xD

    Hey Leute, :)


    Was ich versuche, klingt denkbar einfach, klappt aber noch nicht so 100%-ig.


    Ich gebe meinen Usern die Möglichkeit mittels eines editor einen Beschreibungstext zu verfassen. Dieser muss natürlich nach dem Absenden ncoh auf Böswilligkeiten überprüft werden :rolleyes::rolleyes:
    Dabei sind gewisse HTML-Tags erlaubt, und bestimmte nicht. Es darf zum Beispiel keine Bilder, andere Medien-Elemente geben, ebenso kein Javascript.
    Die Liste der erlaubten Tags ist überschaubar. Nun ist mir durchaus bewusst wie ich das grundsätzlich angehen würde, nämlich mittels

    PHP
    strip_tags()


    PHP.net Doku


    Damit fliegen zumindest erstmal sämtliche <script> Tags oder sowas raus, und stellen keine gefahr mehr dar. (oder?!) Alle erlaubten Tags, kann ich ja dort rausnehmen.


    Laut Doku dürfte auch PHP damit kein Thema mehr sein. (<?php bzw. <? soltle ja eig. mit entfernt werden)
    mein Problem ist eine der Warnungen aus der Doku.


    Zitat

    Warnung


    Diese Funktion modifiziert keine Attribute bei Tags, die via allowable_tags erlaubt wurden, dies betrifft auch style und onmouseover Attribute, die ein böswilliger User verwenden kann, um einen Text zu posten, der von anderen Usern gesehen werden soll.


    Damit wäre es nach meinem verständniss wiederrum möglich in z.B. onclick-Events Schadcode auszuführen.


    Nun endlich mal zu meinen konkreten Fragen:


    1. Hat jemand eine Idee wie ich sämtliche unerwünschten Attribute aus allen tags entferne??
    2. Reicht die Ausführung von "strip_tags" aus um den Code als "sicher" anzusehen, oder sollte man wietere validierungen vornehmen?


    Eine weitere Filterung ist jhalt schwierig, da ja die erlaubten Tags nicht verändert werden sollen (bis auf die Attribute)


    Hoffe es ist verständlich was mien Problem ist :thumbup::thumbup:


    MfG Kanu :D

    Mhhhh, ich werd es nahher einfach mal probieren ;)
    Arbeite bis jetzt mit meinem normalen FF und halt entsprechend meinen Addons...


    Werde heute Abend mal schreiben ob es geklappt hat oder nicht.. .;)


    Kanu
    Hey,


    Also ich habs jetzt getestet und bei mir hat alles funktioniert... ;)


    Installer lief fehlerfrei durch...


    Rechner mal rebootet, auch wenn man als Admin angemeldet ist, mal per Rechtsklick "als Administrator starten" ausführen??
    Anonsten vlt. einfach nochmal downloaden?? :)


    Mehr fällt mir jetzt so direkt auch nicht ein ^^


    Kanu :)

    Für alle die nachmir mit einem ebensolchen Problem kommen, sei folgendes gezeigt
    file_get_contents Mit hilfe des Context bzw. der Optionen ist es möglich der Datei einen Post-Request zu übermitteln und die Datei kann 1 zu 1 per Ajax angesprochen werden.


    Bei mir sieht das jetzt ungefähr so aus:



    For me it Works :thumbup::thumbup:

    Guten Abend,


    Wenn ich richtug verstehe was du meinst, ist das eig. ziemlich easy ^^


    Die Funktion "is_admin( )" sollte klar seinw as die macht ^^



    hat der User keine Adminrechte, wird die WHERE Klauser angehängt, sonst halt nicht ^^


    Hoffe das löst dein proble :?:


    Lg Kanu :thumbup::thumbup:

    Hey,


    Habe momentan ein Problem, und entweder stehe ich nur auf dem Schlauch, oder es funktioniert tatsächlich so wie ich mir das vorstelle nicht...
    Ich habe ein Script, das per AJAX-POST einige Parameter übermittelt bekommt "ajax/getUser.php", prüft ob der Nutzer überhaupt berechtigt ist (COOKIE + SESSION) und dann entsprechend Daten zurück gibt, ein weiteres das diese getUser.php per Ajax Anfrage anspricht und die Daten übermittelt.


    Soweit so gut.


    Nun sollte noch PHP-Script dazu kommen, das ebenfalls die Funktion meiner getUser.php in Anspruch nehmen soll, aber diesmal eig. nicht per AJAX sondern noch serverseitig im PHP. Wie gesagt, ich stehe völlig auf dem Schlauch...
    Beim googlen und Co, kamen Varianten per cURL oder HTTP Context, aber bei cURL hab ich das Problem, das ich in meiner getUser.php nicht die Cookies und SESSIONs des Users habe und dadurch meine Authentifizierung fehlschlägt...


    Irgndjemand ne Idee?? ?(?(


    Lg Kanu :thumbup::thumbup:


    PS: genauen Code spare ich mir, da ich denke mein Scenario ist relativ klar, einfaches AJAX-konstruk und jetzt irgendwie nen serverseitigen php-zugriff...

    Hey,


    Zeilenumbrüche??


    wie sollte es auch mit dem Selektor "div.bg" funktionieren??



    Lg Kanu


    EDIT: Jop, den Doctype hab ich total übersehen...

    Auch wenn es schon älter ist:
    Ich benutze ebenso wie mein Vorredner die kostenpflichtige Software PHP-Storm (für Studenten free :thumbup::thumbup: )
    PhPStorm (ich hoffe die Verlinkung ist in dem Fall erlaubt...)


    Für mich pro: gute und vor allem anpassbare Themes und Syntax-Highlighting. Unterstützung vieler verschiedener Websprachen, so wie - relativ - aktuelle Syntax (HTML5, CSS3), die Möglichkeit libarys wie z.B. Jquery einzufügen und zu nutzen. Ab gesehen, davon das es halt keine Freeware ist, kenne ich keine Contra´s und ich persönlich möchte es nie wieder missen!!


    Weil es mir gerade noch einfällt: Man kann damit auch gut Projektmanagement betreiben, die Verwaltung größerer Systeme macht sich eig. auch noch sehr gut! :)



    Kanu :D