[quote=esskar,15.12.2005, 14:51][quote=Bauhaus,15.12.2005, 13:54]Da eben, bin ich mir absolut nicht sicher.
Ungeprüfte Inhalte per print statement und Filehandle an eine Datei weiterzureichen, erscheint mir irgendwie suspekt.[/quote]
totaller schwachsinn![/quote]
Irgendwie kann ich mich mit dieser Antwort nicht anfreunden.
Schlecht drauf heute?

Sorry, hatte vergessen mich einzuloggen.

[quote=esskar,15.12.2005, 14:50][quote=Bauhaus,15.12.2005, 14:02]Da ist z.B. der Fall 'textarea'
Wenn dort ein Text eingetragen wird (und wenn ich dort HTML Formatierung zulasse), dann muss ich dort auch Sonderzeichen und 'Sonderwörter' (wie z.B. script, system usw.) zulassen.
Also könnte doch irgendein freundlicher Zeitgenosse, dort auch ausführbaren Code einbinden - sag ich mal.[/quote]
okay...
er schreibt jetzt z.b. folgenden Text in die textarea



dann drückt er auf Abschicken... was passiert den jetzt mit dem text?[/quote]
Die Frage ist:
Was passiert mit dem Text wenn die Datei ausgelesen und der Inhalt an den Browser gesendet wird?

[quote=Guest,15.12.2005, 15:47]Irgendwie kann ich mich mit dieser Antwort nicht anfreunden.
Schlecht drauf heute?[/quote]
nö. aber es ist schwachsinn.
ich beschäftige mich jetzt seit ca. 6 jahren mit security - und es ist mir noch nie untergekommen, dass ein schreiben in ein filehandle ein security problem darstellen sollte

[quote=Bauhaus,15.12.2005, 16:07]Was passiert mit dem Text wenn die Datei ausgelesen und der Inhalt an den Browser gesendet wird?[/quote]
klar, genau da musst du ansetzen...
sagen wir mal du hast eine wihtelist mit tags, die du erlaubst



jetzt parst du den String (z.b. mit HTML::Parser) und schaust dir die tags an. falls du ein tag findest, dass nicht in der whitelist ist (wie z.b. script) dann, machst du es unschädlich.

[quote=Bauhaus,15.12.2005, 13:54]Da ist dann auch noch diese, im Grunde genommen, gute Idee mit dem in [ ... ] gesetzten BB-Code.
Jede eckige Klammer wird beim Output in eine spitze Klammer umgewandelt.
OK - das ist fein; aber warum dann erst mit [ ... ] speichern?[/quote]
na ganz einfach, damit ich beim editieren eines posts von mir
keine spitzen klammern krieg, sondern die [ die ich eingegeben habe.
sag mir mal, wie du das sonst machen willst.
und sag jetzt bitte nicht, du wandelst <> wieder zurück.\n\n

<!--EDIT|pq|1134662120-->

[quote=esskar,15.12.2005, 16:24][quote=Bauhaus,15.12.2005, 16:07]Was passiert mit dem Text wenn die Datei ausgelesen und der Inhalt an den Browser gesendet wird?[/quote]
klar, genau da musst du ansetzen...
sagen wir mal du hast eine wihtelist mit tags, die du erlaubst



jetzt parst du den String (z.b. mit HTML::Parser) und schaust dir die tags an. falls du ein tag findest, dass nicht in der whitelist ist (wie z.b. script) dann, machst du es unschädlich.[/quote]
Und was mache ich, wenn jemand innerhalb eines 'textareas' schreibt:
mein script funktioniert nicht und mein system dreht durch

[quote=Bauhaus,15.12.2005, 13:54][quote=pq,14.12.2005, 13:18]nicht blind alles escapen. du schriebst zum beispiel, dass du html-entities
schon beim speichern escapen willst? warum das denn? wenn ich < und >
eingebe, in ein forum z.B., kann das doch auch als < und > gespeichert werden.[/quote]
Da eben, bin ich mir absolut nicht sicher.
[/quote]
vielleicht solltest du meine beiträge ganz lesen.
[quote=pq,14.12.2005, 13:18]es bleibt jedem programmierer selbst überlassen, genau zu prüfen, was an wen
übergeben wird, da kann dir letztendlich auch niemand helfen.
du bist derjenige, der weiß - wissen sollte! - wo du user-input hast und in
welcher form der an wen weitergegeben wird.
nicht blind alles escapen. du schriebst zum beispiel, dass du html-entities
schon beim speichern escapen willst? warum das denn? wenn ich < und >
eingebe, in ein forum z.B., kann das doch auch als < und > gespeichert werden.
einzig und allein bei der ausgabe als HTML muss es escaped werden.[/quote]

Quote

Ungeprüfte Inhalte per print statement und Filehandle an eine Datei weiterzureichen, erscheint mir irgendwie suspekt.

nur suspekt erscheinen ist aber keine grundlage, auf der man arbeiten sollte.
was glaubst du denn, welcher inhalt für eine datei, die so den ganzen
tag auf der platte rumliegt, gefährlich ist? keiner. außer zuviel inhalt vielleicht.

[quote=Bauhaus,15.12.2005, 16:58]Und was mache ich, wenn jemand innerhalb eines 'textareas' schreibt:
mein script funktioniert nicht und mein system dreht durch[/quote]
stimmt, daran habe ich noch gar nicht gedacht.
das könnte echt den rechner zum explodieren bringen.

[quote=pq,15.12.2005, 16:54][quote=Bauhaus,15.12.2005, 13:54]Da ist dann auch noch diese, im Grunde genommen, gute Idee mit dem in [ ... ] gesetzten BB-Code.
Jede eckige Klammer wird beim Output in eine spitze Klammer umgewandelt.
OK - das ist fein; aber warum dann erst mit [ ... ] speichern?[/quote]
na ganz einfach, damit ich beim editieren eines posts von mir
keine spitzen klammern krieg, sondern die [ die ich eingegeben habe.
sag mir mal, wie du das sonst machen willst.
und sag jetzt bitte nicht, du wandelst <> wieder zurück.[/quote]
Sorry - ich hatte das so gesehen dass die [ ... ] Klammerung ein Sicherheitssystem darstellen soll.
Arrrgh - da lag ich wohl wieder einmal falsch.