PHP wie xss etc. bei html input verhindern?

Bisher war das kein Problem, bishrt habe ich einfach htmlspecialchars() verwendet, allerdings habe ich jetzt html inout der html code bleiben muss, also eigentlich müsste man nur alles gefährliche wie <?php ?> und <script></script> sowie <link> und <meta> rausfiltern, wie gehe ich da am besten vor ohne den code in irgendeiner weise auszuführen?

3 Antworten

Functional

13.08.2022, 17:31

Wozu muss das HTML-Code bleiben? Wenn es um Textformatierung seitens des Nutzers geht: Verwende lieber etwas wie Markdown oder einen fertigten WYSIWYG-Editor wie TinyMCE. Da eine eigene Suppe zu kochen und zu versuchen nur "böses" HTML zu filtern wird definitiv schief gehen.

GuteFrage verwendet im übrigen auch einen solchen WYSIWYG-Editor, in dem Fall "Quill".

Woher ich das weiß:Berufserfahrung – Inhaber einer App-Agentur & 15+ Jahre Programmiererfahrung

Mensch4

Fragesteller

13.08.2022, 17:39

mag sein, der editor den ich jetzt verwende gibt aber html aus und die leute die diese webseite hier erstellt haben, haben das auch irgendwie hingekriegt

Babelfish

13.08.2022, 17:39

Ein fertiger Editor wie TinyMCE nützt gar nicht und entbindet einen nicht davon, die übermittelten Daten zu überprüfen und säubern.

Functional

13.08.2022, 18:42

@Babelfish

Ja, die Antwort war Käse. Nicht drüber nachgedacht.

Der WYSIWYG-Editor wird zwar im Frontend einiges erleichtern, nützt aber natürlich für die eigentliche Validierung und damit das Problem des Fragestellers nichts.

Nevermind.

Mensch4

Fragesteller

13.08.2022, 17:42

Quill gibt html zurück

Babelfish

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, HTML, PHP

13.08.2022, 17:42

Naja, das einfachste ist strip_tags und nur die erlaubten Tags angeben:

https://www.php.net/manual/de/function.strip-tags.php

Woher ich das weiß:Berufserfahrung – Entwickle seit > 20 Jahren Anwendungen mit PHP.

Mensch4

Fragesteller

13.08.2022, 17:44

an sich fast perfekt, ich danke dir aber weiter unten auf der seite ist diese Warnung, kann ich es trotzdem verwenden?

WarnungDiese Funktion sollte nicht verwendet werden, um zu versuchen XSS-Attacken zu verhindern. Statt dessen sind geeignetere Funktionen wie htmlspecialchars() oder andere Mittel, abhängig vom Ausgabekontext, zu verwenden.

Babelfish

13.08.2022, 17:53

@Mensch4

Du musst ja aber HTML durchlassen, also geht htmlspecialchars() nicht, auch wenn das gegen XSS da sicherste ist. Deshalb ist strip_tags() schon mal der richtige Ansatz. Zusätzlich kannst du aber noch weitere Sachen einbauen.

Babelfish

13.08.2022, 18:14

@Mensch4

Du kannst dir mal HTML Purifier anschauen. Das ganz geeignet dafür aus.

http://htmlpurifier.org/

EinAlexander

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, HTML, Webseite

13.08.2022, 17:27

allerdings habe ich jetzt html inout der html code bleiben muss

sicher nicht.

Was genau willst du denn machen?

Alex

Mensch4

Fragesteller

13.08.2022, 17:30

ich habe html input der nicht verändert werden darf weil er für textformatierung zuständig ist also enthält so sachen wie <bold>Hello</bold>

EinAlexander

13.08.2022, 17:50

@Mensch4

nimm strip_tags() und definiere die zugelassenen Tags.

Es wird gesagt, dass es einen Fehler in Zeile 17, 18 und 19 gibt. Also ab

$name = $_POST['Name'];

Ich finde den Fehler dazu aber nicht. dieser Code ist dazu da, einen neuen Benutzer in eine Datenbank zu speichern.

Code:

<!DOCTYPE html>
<html lang="en">
  <head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
  </head>
  <body>
    <form method="post">
      <input type="Text" id="Name" placeholder="Name"><br><br>
      <input type="Text" id="Vorname" placeholder="Vorname"><br><br>
      <input type="number" id="Telefonnummer" placeholder="Telefonnummer"><br><br>
      <input type="submit">
    </form>
    <?php
      $name = $_POST['Name'];
      $Vorname = $_POST['Vorname'];
      $Telefonnummer = $_POST['Telefonnummer'];
      require "./Config.php";
      $pdo;
      $sql = "INSERT INTO user (Name, Vorname, Telefonnummer) VALUES (:Name, :Vorname, :Telefonnummer)";
      $stmt = $pdo -> prepare($sql);
      $stmt -> execute(['name' => $name, 'Vorname', $Vorname, 'Telefonnummer', $Telefonnummer]);
    ?>
  </body>
</html>

...zur Frage

Javascript Ajax Php kein Wert?

Console:

HTML javascript Code ajax:

function send(text){
   console.log("Text kurz vor versenden:\n" +text);
//hier hat er noch einen wert
   $.ajax({
     method: "POST",
     url: "DataSender.php",
     data: { text: text}
   }).done(function( response ) {
       console.log(response);
     console.log("weiterleitung

Php Code Ajax Übertragung wo es nicht geht:

      $text = $_POST['text'];
      $sql = "INSERT INTO `Xss-Data` (`ID`,`DATA`, `created_at`) VALUES (null, '{$text}' , CURRENT_TIMESTAMP)";

      if (empty($text)) {
              //das ist empty!
              echo("Error:\nEs ist leer\nText wäre\n$text");
          } else

Sind die wichtigen Code snippets

Der String hat keinen Wert. Warum? Wie löst man das?

...zur Frage

Wenn HTML-Button gedrückt wird PHP-Script ausführen?

Ich möchte, dass wenn ein Button in HTML gedrückt wir, ein PHP-Script ausgeführt wird. Ich habe im Internet folgendes gefunden:

<? php 
if(isset($_POST['sent'])){
	// ...
}
?>

<form method="post" action="script.php">
<input type="submit" name="sent" value="senden">
</form>

Das funktioniert aber irgendwie nicht. Man wird wenn man auf den Button drückt nur zum PHP-Script weitergeleitet. (Bin noch neu mit Php und so, also keine Ahnung woran es liegt.) Eigentlich sollte PHP aber im Hintergrund ausgeführt werden.

Hoffe auf Antworten,

-Bohne47

...zur Frage

SQL Injektion und Cross Site Scripting verhindern?

Wie würde ich das hier in sicher machen ?

Es ist der Php Code von einem Unsicheren Chat aber es geht mir um XSS oder SQL Injectons, nicht um Verschlüsselungen etc.

<?php
    $host = 'localhost';
    $user = 'root';
    $pw = '';
    $database = 'Chat';
$db = mysqli_connect($host, $user, $pw, $database);

if ($db) {
} else {
    exit("Error" . mysqli_connect_error());
}
if (isset($_GET['message']) && $_GET["message"] != "") {
    $username = "Alice";
    $message = $_GET['message'];
    $sql_insert = 'INSERT INTO messages SET
                  user = "' . $username . '",
                  message = "' . $message . '"';
    $sql = "SELECT * FROM messages";
    $res =  $db->query($sql);
    $insert = mysqli_query($db, $sql_insert);
    echo "Sucessfull";
}
else {
    echo '<script> alert("Bitte Trage etwas ein")';
}

...zur Frage

HTML input in JavaScript-Variable?

Wenn ich in HTML ein form ausfülle und abschicke wie bekomme ich dann das eingegeben im Input in eine JavaScript Variable. Habe provisorisch mal das hier gemacht und komme nicht weiter. Danke für eure Hilfe :)

<!DOCTYPE html>

<html>

<head>

<title>Input to Variable</title>

var input = "Wie bekomme ich den eingegebenen input hier hin?"

</script>

</head>

<body>

<button>Submit</button>

</body>

</html>

...zur Frage

HTML Master Element auf mehreren Seiten einbinden?

Ich bin gerade an meinem Portfolio, welches ich selbst über HTML "code".

Die basic Skills reichen mir dazu eigentlich und den Rest bekomme ich von Codepen, aber eine Frage habe ich, welche ich nicht im Netz beantwortet bekommen habe. Oder zumindest weiß ich nicht genau, nach was ich googeln soll.

Ich habe auf jeder Seite dasselbe Menü.
Muss ich das nun auf jeder Seite händisch einpflegen oder kann ich irgendwie einen HTML-Schnipsel mittels PHP von einer anderen Seite auslesen.

Daher ich habe z.B. ein Stück Code welches auf jeder meiner .html Seiten zu finden ist. Ändere ich diesen Codeschnipsel, wird er automatisch auf allen eingebundenen Seiten ebenfalls geändert. So eine Art "Mastertemplate". Ich hoffe ihr versteht, was ich meine.

Und das am besten mit mehreren Objekten. Z.B. Header, Footer und noch andere Elemente, die dann auf die Unterseiten kommen werden.

Da eine komplette Antwort zu dem Thema vermutlich zu komplex ist, gerne auch einfach ein Tutorial verlinken.

Danke!

...zur Frage

Wieso versendet dieser PHP Code die Mail nicht?

Gestern ging es noch.....

Es kommt zwar die Meldung das die Mail verschickt wurde jedoch wurde sie nicht verschickt

<?php
if(isset($_POST['submit'])) {
  $to = $_POST['to'];
  $subject = $_POST['subject'];
  $message = $_POST['message'];
  $header = "From : <//email-adresse-vom-sender>";
  if(mail($to, $subject, $message, $header)) {
    echo "Email sent successfully";
  } else {
    echo "Email failled";
  }
}
?>
<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  <title>Document</title>
</head>
<body>
  <div class="container">
  <div class="form_container">
    <h3>Send Email with PHP</h3>
    <form method="post">
      <p>
        <label for="to">To:</label>
        <input type="text" name="to" placeholder="To.."/>
      </p>
      <p>
        <label for="subject">Subject:</label>
        <input type="text" name="subject" placeholder="Subject.."/>
      </p>
      <p>
        <label for="name">Message:</label>
        <input type="text" name="message" placeholder="Message.."/>
      </p>
      <button name="submit" name='submit'>Send</button>
    </form>
    </div>
    </div>
  
</body>
</html>

...zur Frage

PHP in einer HTML Datei einbauen?

Will eine HTML Seite bauen auf der man Währungen in Euro und anders rum umrechnen kann.

Ich würde gerne, dass ich einzeln senden kann und verschiedene antworten unter nem "zurücksetzen" bekommen kann. Wie baue ich php in meinen code noch ein ohne auf eine andere Seite geleitet zu werden nach dem absenden

...zur Frage

Einfacher Taschenrechner JS?

Hallo :)

Ich soll einen einfachen Taschenrechner mit Eingabefeldern erstellen, so dass er am Ende wie im Bild aussieht, ich weiß nur nicht, wie ich den <script> Teil schreiben muss, sodass er auch tatsächlich funktioniert, kann mir da jemand weiterhelfen?

Hier noch mein bisheriger Code:

<!DOCTYPE html>
<html lang="de">
  <head>
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Praktikum Webanwendungen 1</title>
    <style>
      input,
      button {
        margin: 10px;
      }
    </style>
    <script>
     
    </script>
  </head>
  <body>
    <h1>Taschenrechner</h1>
    <label for="number1">Zahl1:</label>
    <input id="number1" type="number">


    <label for="number2">Zahl2:</label>
    <input id="number2" type="number">


    <div>
      <button onclick="add()">+</button>
      <button onclick="subtract()">-</button>
      <button onclick="multiply()">x</button>
      <button onclick="divide()">/</button>
    </div>


    <label for="result">Ergebnis:</label>
    <input id="result" type="number">
  </body>
</html>

...zur Frage

jQuery Eingabe unten einfügen?

Ich soll einen Code schreiben, der die Eingabe nach dem drücken des Buttons unten auflistet (wie im Bild gezeigt). Kann mir jemand sagen was ich falsch gemacht habe?

Hier mein Code:

<!DOCTYPE html>
<html lang="de">
    <head>
        <meta charset="utf-8">
        <meta name="viewport" content="width=device-width, initial-scale=1.0">
        <title>Praktikum Webanwendungen 1</title>
        <script src="https://ajax.googleapis.com/ajax/libs/jquery/3.6.0/jquery.min.js"></script>
    </head>
    <style>
        h1{
            font-size: 50px;
        }


        div{
            float: left;
            margin: 10px;
        }


        .aufgabe{
            font-weight: bold;
            font-size: larger;
        }
       
        .liste{
            border: solid black;
        }
    </style>
    <body>
        <h1>Todo Liste</h1>
        <div class="aufgabe">Aufgabe:</div>
        <div class="eingabe"> <input type="text"> </div>
        <div class="erstellen"> <input type="submit" value="Erstellen"> </div>
        <br><br>
        <p class="liste"></p>
    </body>
    <script>
        $(document).ready(function(){
            $(".erstellen").click(function(){
                $("input").appendTo(".liste");
            });
        });
    </script>
  </body>
</html>

...zur Frage

PHP/HTML - Wie kann ich in jeder Zelle meiner Tabelle ein Dropdownmenü ausgeben?

Hallo zusammen,

folgendes Problem:

Ich möchte eine Tabelle haben, die in jeder Zelle ein Dropdownmenü hat. Später möchte ich die ausgewählten Werte in der Datenbank speichern.

Da die Tabelle selbst nicht statisch und aufgrund von anderen Parametern größer/kleiner, etc. ist, kann ich nicht in jede Zeile das Dropdown hineinschreiben.

Mein Dropdownmenü (welches einzeln einwandfrei funktioniert):

<form id="form" name="form" method="post">
  <select Vorname2='NEW'>
    <option value=""> </option>
    <?php while ($cat = mysqli_fetch_array($vornamen,MYSQLI_ASSOC)):; ?>
      <option value="<?php echo $cat['vorname'];?>">
        <?php echo $cat['vorname'];?>
      </option>
    <?php endwhile; ?>
  </select>
</form>

Wenn ich diesen Code zweimal verwende (auch unter anderem Namen), dann kann ich dennoch nur bei dem Menü etwas auswählen, welches zuerst im Quelltext vorkommt.

Die Wiederholungen versuche ich mit einer Loop gleichzeitig mit dem Aufbau der Tabelle zu intigrieren. In jede einzelne "Test"-Zeile soll später das Dropdownmenü.

  for ($x = 0; $x < $anzahltage; $x++) {
    echo "<tr>";
      echo "<td>";
?>
    Hier steht der Quelltext von oben
<?php
  echo "</td>";
  echo "<td> test 2</td>";
  echo "<td> test 3</td>";
  echo "<td> test 4</td>";
  echo "<td> test 5</td>";
  echo "<td> test 6</td>";
  echo "</tr>";
}

Gibt es da bessere Ideen?

Ich bin nicht so gut im Programmieren. Ich kenne nicht alle Befehle. Also bitte nicht zu streng sein. :)

...zur Frage

Ein "Create"-Button, der eine neue Seite erstellt über php?

Grob gesagt, habe ich vor einen "Create"-Button zu erstellen, der, wenn man auf ihn klickt, eine neue HTML-Seite erstellt, diese HTML-Seite, soll dann ein vorgefertigtes Design haben und soll eine bestimmte CODE haben, denn man wiederum irgendwo eingeben könnte. Als Beispiel könnte man "Discord" nehmen, mit dem Create und Join Buttons.

...zur Frage

SUCHE: Lagerverwaltung mit SQL Datenbank Webbasierend (einfach)

**Hallo,

Weiß jemand ein fertiges System bzw. Script/Code für PHP oder HTML um ein einfache Lagerverwaltung übern SQL Server laufen zu lassen ? Vielen Dank!**

Was es können muss: Zugriff von jedem Rechner ca. 30 Verwalten von Bauteilen Lagerort Stückzahl Warnung und Benachrichtigung per eMail Hin und weg buchen von Artikeln Artikelbeschreibung Notiz

Wäre schön: Verschiedene Benutzer Index erhöhung

...zur Frage

PHP + SQL - PHP Registrierung?

Hi, suche einen Code, der in einer bestehenden Tabelle einer MySQL Datenbank Variablen einführt... Als Beispiel Nickname und Kennwort. Dazu halt ein HTML Formular...

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen