php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Scripts > Apps und PHP Script Gesuche
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


Apps und PHP Script Gesuche Hier könnt ihr nach PHP Skripten und Programmen fragen. Postet eure Wünsche

Antwort
 
LinkBack Themen-Optionen Bewertung: Bewertung: 1 Stimmen, 5,00 durchschnittlich.
  #1 (permalink)  
Alt 18-04-2008, 20:46
janein
 Member
Links : Onlinestatus : janein ist offline
Registriert seit: May 2003
Beiträge: 206
janein ist zur Zeit noch ein unbeschriebenes Blatt
Standard javascript entfernen - RegEx

Gibt es evt. eine Funktion, welche lästiges Javascript entfernt?
Mit Zitat antworten
  #2 (permalink)  
Alt 18-04-2008, 20:58
Blackgreetz
 PHP Junior
Links : Onlinestatus : Blackgreetz ist offline
Registriert seit: Oct 2005
Beiträge: 901
Blackgreetz ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Mittels Regex?

script parsen und mit nichts ersetzen?

mfg
Mit Zitat antworten
  #3 (permalink)  
Alt 18-04-2008, 20:59
Manko10
 Newbie
Links : Onlinestatus : Manko10 ist offline
Registriert seit: Mar 2008
Beiträge: 115
Manko10 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Eine Möglichkeit, oder z.B. htmlspecialchars() anwenden, dann kommt JavaScript nicht mehr zur Ausführung. Evtl. reicht sogar ein addslashes(), um JavaScript-Code zu zerstören, bloß ist die Variante wohl nicht so toll.
Mit Zitat antworten
  #4 (permalink)  
Alt 18-04-2008, 21:24
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Auf eure beiden Lösungen würde ich mich nicht verlassen, andernfalls wird es ein versierter Einbrecher nicht schwer haben in eurer Seite einen XSS-Angriffsvektor zu finden.

Dem TS lege ich PHPIDS und HTML Purifier ans Herz. Zwei Tools, die ich grade in Kombination teste, und mit denen ich hervorragende Ergebnisse erziele!
Mit Zitat antworten
  #5 (permalink)  
Alt 18-04-2008, 21:32
$_Baker
 Member
Links : Onlinestatus : $_Baker ist offline
Registriert seit: Feb 2008
Beiträge: 220
$_Baker ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Code:
/(\<script type\="text\/javascript"\/\>(.*?)\<\/script\>")/i
?
Mit Zitat antworten
  #6 (permalink)  
Alt 18-04-2008, 21:35
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von $_Baker
Code:
/(\<script type\="text\/javascript"\/\>(.*?)\<\/script\>")/i
?
PHP-Code:
<script 
type
="text/javascript">
alert('XSS');
</script> 
Kein Match!
Mit Zitat antworten
  #7 (permalink)  
Alt 18-04-2008, 21:37
PHP-Desaster
 PHP Expert
Links : Onlinestatus : PHP-Desaster ist offline
Registriert seit: Mar 2006
Beiträge: 3.105
PHP-Desaster befindet sich auf einem aufstrebenden Ast
Standard

JavaScript befindet sich nicht nur in script-Tags, sondern auch in Eventhandlern, in style-Tags mit type="text/javascript", ... So einfach ist es nicht!
Mit Zitat antworten
  #8 (permalink)  
Alt 18-04-2008, 21:39
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

OffTopic:
Und wer .*? irgendwann mal in seinen Tutorials untergebracht hat, gehört auch an die Wand!
Mit Zitat antworten
  #9 (permalink)  
Alt 18-04-2008, 21:45
$_Baker
 Member
Links : Onlinestatus : $_Baker ist offline
Registriert seit: Feb 2008
Beiträge: 220
$_Baker ist zur Zeit noch ein unbeschriebenes Blatt
Standard

OffTopic:
Zitat:
Original geschrieben von unset
OffTopic:
Und wer .*? irgendwann mal in seinen Tutorials untergebracht hat, gehört auch an die Wand!
Soweit ich weiß, ist der U-modifier PHP-Spezifisch.
Außerdem, was ist, wenn man nicht überall ungierig sein will im regex?
Mit Zitat antworten
  #10 (permalink)  
Alt 18-04-2008, 21:46
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von $_Baker
OffTopic:

Soweit ich weiß, ist der U-modifier PHP-Spezifisch.
Wir sind ja auch im PHP-Forum ...
Mit Zitat antworten
  #11 (permalink)  
Alt 18-04-2008, 22:01
$_Baker
 Member
Links : Onlinestatus : $_Baker ist offline
Registriert seit: Feb 2008
Beiträge: 220
$_Baker ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Allgemein kann man sage, das es eine Heidenarbeit ist, javascript vollständig zu entfernen.

Das mit dem Zeilenumbruch lässt sich auch ganz einfach bewerkstelligen.

Was ist denn so umheimlich schlimm an .*? fragezeichen
Mit Zitat antworten
  #12 (permalink)  
Alt 18-04-2008, 22:18
janein
 Member
Links : Onlinestatus : janein ist offline
Registriert seit: May 2003
Beiträge: 206
janein ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von $_Baker
Allgemein kann man sage, das es eine Heidenarbeit ist, javascript vollständig zu entfernen ...
Das dachte ich mir. Da ich auch ein Heide bin dachte ich mir, es gibt sicher einige RegEx Lösungen für das Problem, um das Rad nicht jedesmal neu erfinden zu müssen ...

Hat jemand evt. eine brauchbare RegEx Lösung um sämtliches Javascript aus einem Text zu entfernen, um nur den Text verarbeiten zu können?
Mit Zitat antworten
  #13 (permalink)  
Alt 18-04-2008, 22:21
Manko10
 Newbie
Links : Onlinestatus : Manko10 ist offline
Registriert seit: Mar 2008
Beiträge: 115
Manko10 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

@$_Baker: Nichts. Nur wenn man in seinem RegEx nur ungierige Muster hat, dann ist der U-Modifier praktischer und übersichtlicher.

@janein: die einfachste Methode ist, den gesamten HTML-Code ungültig zu machen (htmlentities() oder htmlspecialchars()). Dann wird kein JS-Code mehr ausgeführt, weil es keine entsprechenden Tags/Attribute mehr gibt. Wenn du JavaScript aber nur entfernen, den Rest aber erhalten willst, wird es kompliziert.

Geändert von Manko10 (18-04-2008 um 22:23 Uhr)
Mit Zitat antworten
  #14 (permalink)  
Alt 18-04-2008, 22:27
janein
 Member
Links : Onlinestatus : janein ist offline
Registriert seit: May 2003
Beiträge: 206
janein ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von Manko10
... Wenn du JavaScript aber nur entfernen, den Rest aber erhalten willst, wird es kompliziert.
Genau das will ich ...
Mit Zitat antworten
  #15 (permalink)  
Alt 18-04-2008, 22:27
$_Baker
 Member
Links : Onlinestatus : $_Baker ist offline
Registriert seit: Feb 2008
Beiträge: 220
$_Baker ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Ganz einfach: Du schaust dir an, welche onclick-Attrbute, scripttags (zb bei selfhtml) usw es gibt, und baust dir damit ausdrücke, die das entfernen. Aber dann musst du schon jede Kombination berücksichtigen, auch die oben angesprochene mit dem Zeilenumbruch.
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 17:17 Uhr.