php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 25-11-2007, 13:22
Sebastian.J
 Junior Member
Links : Onlinestatus : Sebastian.J ist offline
Registriert seit: Sep 2003
Beiträge: 158
Sebastian.J ist zur Zeit noch ein unbeschriebenes Blatt
Standard htmlentites bei URLs

Hab ne kleine Frage

Ich bearbeite alle meine Einträge die ich in der DB speicher mit strip_tags und mit htmlentities. Darunter befindet sich z.B auch mal ne URL die z.B so aussieht

Zitat:
http://streaming.tagesschau.de/bb/redirect.lsc?rewrite=http://www.tagesschau.de/export/podcast-rss/tagesschau&content=content&media=mp3
nachdem bearbeiten mit htmlentities hat er mir ja die & in & a m p ; (ohne leerzeichen) gewandelt

So wenn ich mir das ganze aber aus der Datenbank hole um es später z.B an SimplePie (XML Klasse) zu übergeben, erhalte ich ja die URL mit den & a m p ; (ohne leerzeichen)

Wenn ich diese als ZielURL nehme, erhalte ich ja kein Ergebnis weil sie nicht existiert.

Eigentlich könnte ich die URL mit html_entity_decode wieder zurückwandeln, dass aber ja keinen Sinn macht, weil dann dort auf der Seite wieder JS Code oder so ausgeführt werden kann.

Hab ich hier nen kleinen denkfehler oder gibts da ne einfache lösung für?

Danke

P.S: Auf der anderen Seite kann ja kein schadhafter Code ausgegeben werden, solang ich keine Ausgabe mache. Wenn die Klasse nur prüft ob die URL exisitiert würde also html_entity_decode doch Sinn ergeben oder?

Geändert von Sebastian.J (25-11-2007 um 13:33 Uhr)
Mit Zitat antworten
  #2 (permalink)  
Alt 25-11-2007, 13:52
tontechniker
 PHP Senior
Links : Onlinestatus : tontechniker ist offline
Registriert seit: Jul 2005
Beiträge: 1.972
tontechniker ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Ich denke schon der erste Schritt mit htmlentities greift an der falschen Stelle. Wenn du du Felder hast in denen tatsächlich nur die Url steht solltest du diese z.B. mit filter validieren (ein Anfrage ob sie auch existiert ist nicht unbedingt sinnvoll) und dann unbearbeitet in die Datenbank schreiben.
__________________
Die Regeln | rtfm | register_globals | strings | SQL-Injections | []
Mit Zitat antworten
  #3 (permalink)  
Alt 25-11-2007, 15:28
Sebastian.J
 Junior Member
Links : Onlinestatus : Sebastian.J ist offline
Registriert seit: Sep 2003
Beiträge: 158
Sebastian.J ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von tontechniker
Ich denke schon der erste Schritt mit htmlentities greift an der falschen Stelle. Wenn du du Felder hast in denen tatsächlich nur die Url steht solltest du diese z.B. mit filter validieren (ein Anfrage ob sie auch existiert ist nicht unbedingt sinnvoll) und dann unbearbeitet in die Datenbank schreiben.
Also erstmal danke für die filter Funktionen, kann man immer gut gebrauchen.

Also wenn ich dich richtig verstanden habe, meinst du das ich prüfen soll ob es sich in dem Feld um eine URL handelt. Das kann ich ja machen, allerdings gibt er mir z.B diese URL auch als normale URL aus

PHP-Code:
filter_var('http://www.example.com?test=<script>alert(\'huhu\')</script>'FILTER_VALIDATE_URL); 
Weil es sich ja auch um ne URL handelt.

Aber das problem hat sich erledigt weil ich bei Ausgabe der URL ja meine URL mit htmlentities und strip_tags absichere, damit kein JS ausgeführt werden kann.

Wenn ich dir richtige URL brauche um sie später mit SimplePie auszuführen, kann ich ruhig die URL mit html_entity_decode() an SimplePie übergeben

http://www.example.com?test=<script>alert(\'huhu\')</script>

denn es findet ja keine Ausgabe statt.

Danke aber trotzdem (Wenn ich mich irgendwo vertan habe mit der erklärung, immer her damit)
Mit Zitat antworten
  #4 (permalink)  
Alt 25-11-2007, 16:14
tontechniker
 PHP Senior
Links : Onlinestatus : tontechniker ist offline
Registriert seit: Jul 2005
Beiträge: 1.972
tontechniker ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Weil es sich ja auch um ne URL handelt.
Nach url_encode ist die Url ja auch gültig.
__________________
Die Regeln | rtfm | register_globals | strings | SQL-Injections | []
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

Die RIGID-FLEX-Technologie
Die RIGID-FLEX-TechnologieDie sogenannte "Flexible Elektronik" , oftmals auch als "Flexible Schaltungen" bezeichnet, ist eine zeitgemäße Technologie zum Montieren von elektronischen Schaltungen.

06.12.2018 | Berni

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni


 

Aktuelle PHP Scripte

WeltExplorer v1.0

WeltExplorer v1.0 ist ein Dateimanager zum Browsen und Operieren im Dateisystem. Bei installiertem cURL können Ordner und Dateien zu entfernten FTP-Servern hochgeladen bzw. von diesen heruntergeladen werden, etwa zum Erstellen von Backups oder Mirrorsites

06.02.2019 weltvolk | Kategorie: PHP/ File
PG Job Site Pro

> Job Site Pro - web-basiertes Programm, auf PHP/MySQL für Erstellung der funktionellen Job Board Site gebaut. Das hat erweitertes Management-System für Arbeitssuchenden und Arbeitgeber und kann für bestimmte Länder, Regionen oder einfach generelle Job Si

05.02.2019 submit@ | Kategorie: PHP/ Management
ModuleStudio ansehen ModuleStudio

Modellgetriebene Entwicklung von Erweiterungen für das Open Source Framework Zikula.

15.01.2019 Guite | Kategorie: PHP ENTWICKLUNGSUMGEBUNG
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 06:01 Uhr.