PHP wie xss etc. bei html input verhindern?

Bisher war das kein Problem, bishrt habe ich einfach htmlspecialchars() verwendet, allerdings habe ich jetzt html inout der html code bleiben muss, also eigentlich müsste man nur alles gefährliche wie <?php ?> und <script></script> sowie <link> und <meta> rausfiltern, wie gehe ich da am besten vor ohne den code in irgendeiner weise auszuführen?

3 Antworten

Functional

13.08.2022, 17:31

Wozu muss das HTML-Code bleiben? Wenn es um Textformatierung seitens des Nutzers geht: Verwende lieber etwas wie Markdown oder einen fertigten WYSIWYG-Editor wie TinyMCE. Da eine eigene Suppe zu kochen und zu versuchen nur "böses" HTML zu filtern wird definitiv schief gehen.

GuteFrage verwendet im übrigen auch einen solchen WYSIWYG-Editor, in dem Fall "Quill".

Woher ich das weiß:Berufserfahrung – Inhaber einer App-Agentur & 15+ Jahre Programmiererfahrung

Babelfish

13.08.2022, 17:39

Ein fertiger Editor wie TinyMCE nützt gar nicht und entbindet einen nicht davon, die übermittelten Daten zu überprüfen und säubern.

Functional

13.08.2022, 18:42

@Babelfish

Ja, die Antwort war Käse. Nicht drüber nachgedacht.

Der WYSIWYG-Editor wird zwar im Frontend einiges erleichtern, nützt aber natürlich für die eigentliche Validierung und damit das Problem des Fragestellers nichts.

Nevermind.

Mensch4

Beitragsersteller

13.08.2022, 17:42

Quill gibt html zurück

Mensch4

Beitragsersteller

13.08.2022, 17:39

mag sein, der editor den ich jetzt verwende gibt aber html aus und die leute die diese webseite hier erstellt haben, haben das auch irgendwie hingekriegt

Babelfish

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, HTML, PHP

13.08.2022, 17:42

Naja, das einfachste ist strip_tags und nur die erlaubten Tags angeben:

https://www.php.net/manual/de/function.strip-tags.php

Woher ich das weiß:Berufserfahrung – Entwickle seit > 20 Jahren Anwendungen mit PHP.

Mensch4

Beitragsersteller

13.08.2022, 17:44

an sich fast perfekt, ich danke dir aber weiter unten auf der seite ist diese Warnung, kann ich es trotzdem verwenden?

WarnungDiese Funktion sollte nicht verwendet werden, um zu versuchen XSS-Attacken zu verhindern. Statt dessen sind geeignetere Funktionen wie htmlspecialchars() oder andere Mittel, abhängig vom Ausgabekontext, zu verwenden.

Babelfish

13.08.2022, 17:53

@Mensch4

Du musst ja aber HTML durchlassen, also geht htmlspecialchars() nicht, auch wenn das gegen XSS da sicherste ist. Deshalb ist strip_tags() schon mal der richtige Ansatz. Zusätzlich kannst du aber noch weitere Sachen einbauen.

Babelfish

13.08.2022, 18:14

@Mensch4

Du kannst dir mal HTML Purifier anschauen. Das ganz geeignet dafür aus.

http://htmlpurifier.org/

EinAlexander

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer, HTML, Webseite

13.08.2022, 17:27

allerdings habe ich jetzt html inout der html code bleiben muss

sicher nicht.

Was genau willst du denn machen?

Alex

Mensch4

Beitragsersteller

13.08.2022, 17:30

ich habe html input der nicht verändert werden darf weil er für textformatierung zuständig ist also enthält so sachen wie <bold>Hello</bold>

EinAlexander

13.08.2022, 17:50

@Mensch4

nimm strip_tags() und definiere die zugelassenen Tags.

Ähnliche Beiträge

Javascript Ajax Php kein Wert?

Console:

HTML javascript Code ajax:

function send(text){
   console.log("Text kurz vor versenden:\n" +text);
//hier hat er noch einen wert
   $.ajax({
     method: "POST",
     url: "DataSender.php",
     data: { text: text}
   }).done(function( response ) {
       console.log(response);
     console.log("weiterleitung

Php Code Ajax Übertragung wo es nicht geht:

      $text = $_POST['text'];
      $sql = "INSERT INTO `Xss-Data` (`ID`,`DATA`, `created_at`) VALUES (null, '{$text}' , CURRENT_TIMESTAMP)";

      if (empty($text)) {
              //das ist empty!
              echo("Error:\nEs ist leer\nText wäre\n$text");
          } else

Sind die wichtigen Code snippets

Der String hat keinen Wert. Warum? Wie löst man das?

...zum Beitrag

SQL Injektion und Cross Site Scripting verhindern?

Wie würde ich das hier in sicher machen ?

Es ist der Php Code von einem Unsicheren Chat aber es geht mir um XSS oder SQL Injectons, nicht um Verschlüsselungen etc.

<?php
    $host = 'localhost';
    $user = 'root';
    $pw = '';
    $database = 'Chat';
$db = mysqli_connect($host, $user, $pw, $database);

if ($db) {
} else {
    exit("Error" . mysqli_connect_error());
}
if (isset($_GET['message']) && $_GET["message"] != "") {
    $username = "Alice";
    $message = $_GET['message'];
    $sql_insert = 'INSERT INTO messages SET
                  user = "' . $username . '",
                  message = "' . $message . '"';
    $sql = "SELECT * FROM messages";
    $res =  $db->query($sql);
    $insert = mysqli_query($db, $sql_insert);
    echo "Sucessfull";
}
else {
    echo '<script> alert("Bitte Trage etwas ein")';
}

...zum Beitrag

Wie kann ich bei hPage PHP in HTML eingeben?

Hallo

In meiner Website auf hPage möchte ich im HTML-Code PHP-Sachen einfügen.

Der HTML-Editor meckert allerdings.

Muss ich die Seite mit einer PHP-Endung abspeichern?

Wenn ja, wie mache ich das?

...zum Beitrag

SUCHE: Lagerverwaltung mit SQL Datenbank Webbasierend (einfach)

**Hallo,

Weiß jemand ein fertiges System bzw. Script/Code für PHP oder HTML um ein einfache Lagerverwaltung übern SQL Server laufen zu lassen ? Vielen Dank!**

Was es können muss: Zugriff von jedem Rechner ca. 30 Verwalten von Bauteilen Lagerort Stückzahl Warnung und Benachrichtigung per eMail Hin und weg buchen von Artikeln Artikelbeschreibung Notiz

Wäre schön: Verschiedene Benutzer Index erhöhung

...zum Beitrag

PHP in einer HTML Datei einbauen?

Will eine HTML Seite bauen auf der man Währungen in Euro und anders rum umrechnen kann.

Ich würde gerne, dass ich einzeln senden kann und verschiedene antworten unter nem "zurücksetzen" bekommen kann. Wie baue ich php in meinen code noch ein ohne auf eine andere Seite geleitet zu werden nach dem absenden

...zum Beitrag

PHP variable als Value für input Feld?

Hallo Leute, ich bin noch ein blutiger PHP einsteiger und wollte gerade probieren ein 2-Dimensionales Array auszugeben... nur habe ich gerade das problem das die eingabe akzeptiert und in eine variable eingelesen wird aber ich diese variable nicht im html xode verwenden kann? Weiß jemand wie dies funktioniert? Bzw. Gibt es eine Methode mit welcher man wie mit .innerHTML mehr am html code verändern kann als ein paar variablen? Danke für eure Antworten LG Julian

...zum Beitrag

Ein "Create"-Button, der eine neue Seite erstellt über php?

Grob gesagt, habe ich vor einen "Create"-Button zu erstellen, der, wenn man auf ihn klickt, eine neue HTML-Seite erstellt, diese HTML-Seite, soll dann ein vorgefertigtes Design haben und soll eine bestimmte CODE haben, denn man wiederum irgendwo eingeben könnte. Als Beispiel könnte man "Discord" nehmen, mit dem Create und Join Buttons.

...zum Beitrag

HTML Master Element auf mehreren Seiten einbinden?

Ich bin gerade an meinem Portfolio, welches ich selbst über HTML "code".

Die basic Skills reichen mir dazu eigentlich und den Rest bekomme ich von Codepen, aber eine Frage habe ich, welche ich nicht im Netz beantwortet bekommen habe. Oder zumindest weiß ich nicht genau, nach was ich googeln soll.

Ich habe auf jeder Seite dasselbe Menü.
Muss ich das nun auf jeder Seite händisch einpflegen oder kann ich irgendwie einen HTML-Schnipsel mittels PHP von einer anderen Seite auslesen.

Daher ich habe z.B. ein Stück Code welches auf jeder meiner .html Seiten zu finden ist. Ändere ich diesen Codeschnipsel, wird er automatisch auf allen eingebundenen Seiten ebenfalls geändert. So eine Art "Mastertemplate". Ich hoffe ihr versteht, was ich meine.

Und das am besten mit mehreren Objekten. Z.B. Header, Footer und noch andere Elemente, die dann auf die Unterseiten kommen werden.

Da eine komplette Antwort zu dem Thema vermutlich zu komplex ist, gerne auch einfach ein Tutorial verlinken.

Danke!

...zum Beitrag

sql datenbank rückwärts auslesen?

ich hab jetzt auf einer webseite eine art "Feed" erstellt indem ich 25 mal nen html code kopiert und untereinander gemacht hab, jetzt muss der php code in die felder von <img source=" "> per variable die bildnummer und dateiendung eintragen, dass das bild aufgerufen wird, weil immer die neuesten bilder angezeigt werden sollen(--> also die mit der höchsten bild ID) muss die datenbank irgendwie von hinten nach vorne durchegelesen werden also

höchste bildnummer suchen
bildnummer + dateiendung in variable $id und $ending speichern
bildnummer -1
bildnummer + dateiendung in variable $id und $ending speichern
bildnummer -1

und so weiter...

...zum Beitrag

PHP funktioniert nicht?

Hi,

ich möchte eine Website mit PHP erstellen, allerdings wird der code nicht in html code umgewandelt...

ich hoffe mir kann jemand sagen wo mein fehler liegt!

...zum Beitrag

wie veröffentliche ich eine selber programmierte Webseite?

Wenn ich jetzt meine Codes auf HTML und CSS in Visual Studio Code eingebettet habe, außerdem xampp und PHP kenntnisse hätte. Würde ich dann eine verfügbare online Seite haben oder brauche ich einen Onlineserver (eine Software?) wie WordPress (wo ich meine Codes einbetten kann), oder andere Homepage Baukasten oder oder oder ? Oder reicht da eine Hardware, also ein (externet) PC, der solange der online ist und Xampp aktiviert hat auch die Webseite laufen lässt? Kann ich das dann mit meinen Codes von Visual Studio Code verbinden und erstellen?

...zum Beitrag

SQL: Spalte für Durchnummerierung?

Ich arbeite an einem Interface für eine Datenbank. Es ist eine HTML Tabelle, in denen Inpute Felder type="text" sind.

Jetzt rufe ich, wenn ich einen Button drücke ein PHP Script auf, dass den Wert in der Tabelle ändern soll. Um das ganze gut hinzubekommen brauche ich eine Durchnummerierung. Wenn ich aber eine Spalte mit auto_increment erstelle und danach wieder Elemente lösche und hinzufüge, geht die Nummerierung nicht wieder von 0 bzw. 1 los, sondern, als wären die gelöschten Elemente noch da.

Das zerstört mein System komplett.

Gibt es eine gute Möglichkeit das hinzubekommen?

...zum Beitrag

PHP/HTML - Wie kann ich in jeder Zelle meiner Tabelle ein Dropdownmenü ausgeben?

Hallo zusammen,

folgendes Problem:

Ich möchte eine Tabelle haben, die in jeder Zelle ein Dropdownmenü hat. Später möchte ich die ausgewählten Werte in der Datenbank speichern.

Da die Tabelle selbst nicht statisch und aufgrund von anderen Parametern größer/kleiner, etc. ist, kann ich nicht in jede Zeile das Dropdown hineinschreiben.

Mein Dropdownmenü (welches einzeln einwandfrei funktioniert):

<form id="form" name="form" method="post">
  <select Vorname2='NEW'>
    <option value=""> </option>
    <?php while ($cat = mysqli_fetch_array($vornamen,MYSQLI_ASSOC)):; ?>
      <option value="<?php echo $cat['vorname'];?>">
        <?php echo $cat['vorname'];?>
      </option>
    <?php endwhile; ?>
  </select>
</form>

Wenn ich diesen Code zweimal verwende (auch unter anderem Namen), dann kann ich dennoch nur bei dem Menü etwas auswählen, welches zuerst im Quelltext vorkommt.

Die Wiederholungen versuche ich mit einer Loop gleichzeitig mit dem Aufbau der Tabelle zu intigrieren. In jede einzelne "Test"-Zeile soll später das Dropdownmenü.

  for ($x = 0; $x < $anzahltage; $x++) {
    echo "<tr>";
      echo "<td>";
?>
    Hier steht der Quelltext von oben
<?php
  echo "</td>";
  echo "<td> test 2</td>";
  echo "<td> test 3</td>";
  echo "<td> test 4</td>";
  echo "<td> test 5</td>";
  echo "<td> test 6</td>";
  echo "</tr>";
}

Gibt es da bessere Ideen?

Ich bin nicht so gut im Programmieren. Ich kenne nicht alle Befehle. Also bitte nicht zu streng sein. :)

...zum Beitrag

PHP + SQL - PHP Registrierung?

Hi, suche einen Code, der in einer bestehenden Tabelle einer MySQL Datenbank Variablen einführt... Als Beispiel Nickname und Kennwort. Dazu halt ein HTML Formular...

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen