php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 25-11-2007, 12:22
Sebastian.J
 Junior Member
Links : Onlinestatus : Sebastian.J ist offline
Registriert seit: Sep 2003
Beiträge: 158
Sebastian.J ist zur Zeit noch ein unbeschriebenes Blatt
Standard htmlentites bei URLs

Hab ne kleine Frage

Ich bearbeite alle meine Einträge die ich in der DB speicher mit strip_tags und mit htmlentities. Darunter befindet sich z.B auch mal ne URL die z.B so aussieht

Zitat:
http://streaming.tagesschau.de/bb/redirect.lsc?rewrite=http://www.tagesschau.de/export/podcast-rss/tagesschau&content=content&media=mp3
nachdem bearbeiten mit htmlentities hat er mir ja die & in & a m p ; (ohne leerzeichen) gewandelt

So wenn ich mir das ganze aber aus der Datenbank hole um es später z.B an SimplePie (XML Klasse) zu übergeben, erhalte ich ja die URL mit den & a m p ; (ohne leerzeichen)

Wenn ich diese als ZielURL nehme, erhalte ich ja kein Ergebnis weil sie nicht existiert.

Eigentlich könnte ich die URL mit html_entity_decode wieder zurückwandeln, dass aber ja keinen Sinn macht, weil dann dort auf der Seite wieder JS Code oder so ausgeführt werden kann.

Hab ich hier nen kleinen denkfehler oder gibts da ne einfache lösung für?

Danke

P.S: Auf der anderen Seite kann ja kein schadhafter Code ausgegeben werden, solang ich keine Ausgabe mache. Wenn die Klasse nur prüft ob die URL exisitiert würde also html_entity_decode doch Sinn ergeben oder?

Geändert von Sebastian.J (25-11-2007 um 12:33 Uhr)
Mit Zitat antworten
  #2 (permalink)  
Alt 25-11-2007, 12:52
tontechniker
 PHP Senior
Links : Onlinestatus : tontechniker ist offline
Registriert seit: Jul 2005
Beiträge: 1.972
tontechniker ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Ich denke schon der erste Schritt mit htmlentities greift an der falschen Stelle. Wenn du du Felder hast in denen tatsächlich nur die Url steht solltest du diese z.B. mit filter validieren (ein Anfrage ob sie auch existiert ist nicht unbedingt sinnvoll) und dann unbearbeitet in die Datenbank schreiben.
__________________
Die Regeln | rtfm | register_globals | strings | SQL-Injections | []
Mit Zitat antworten
  #3 (permalink)  
Alt 25-11-2007, 14:28
Sebastian.J
 Junior Member
Links : Onlinestatus : Sebastian.J ist offline
Registriert seit: Sep 2003
Beiträge: 158
Sebastian.J ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von tontechniker
Ich denke schon der erste Schritt mit htmlentities greift an der falschen Stelle. Wenn du du Felder hast in denen tatsächlich nur die Url steht solltest du diese z.B. mit filter validieren (ein Anfrage ob sie auch existiert ist nicht unbedingt sinnvoll) und dann unbearbeitet in die Datenbank schreiben.
Also erstmal danke für die filter Funktionen, kann man immer gut gebrauchen.

Also wenn ich dich richtig verstanden habe, meinst du das ich prüfen soll ob es sich in dem Feld um eine URL handelt. Das kann ich ja machen, allerdings gibt er mir z.B diese URL auch als normale URL aus

PHP-Code:
filter_var('http://www.example.com?test=<script>alert(\'huhu\')</script>'FILTER_VALIDATE_URL); 
Weil es sich ja auch um ne URL handelt.

Aber das problem hat sich erledigt weil ich bei Ausgabe der URL ja meine URL mit htmlentities und strip_tags absichere, damit kein JS ausgeführt werden kann.

Wenn ich dir richtige URL brauche um sie später mit SimplePie auszuführen, kann ich ruhig die URL mit html_entity_decode() an SimplePie übergeben

http://www.example.com?test=<script>alert(\'huhu\')</script>

denn es findet ja keine Ausgabe statt.

Danke aber trotzdem (Wenn ich mich irgendwo vertan habe mit der erklärung, immer her damit)
Mit Zitat antworten
  #4 (permalink)  
Alt 25-11-2007, 15:14
tontechniker
 PHP Senior
Links : Onlinestatus : tontechniker ist offline
Registriert seit: Jul 2005
Beiträge: 1.972
tontechniker ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Weil es sich ja auch um ne URL handelt.
Nach url_encode ist die Url ja auch gültig.
__________________
Die Regeln | rtfm | register_globals | strings | SQL-Injections | []
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 14:20 Uhr.