[quote=esskar,15.12.2005, 19:19]exclude könnte schlecht sein, da muss mann ggf zuviel angeben...[/quote]
Was würdest du stattdessen vorschlagen?

Eine Whitelist, wie esskar schon vorgeschlagen hat. Wenn Du z.B. nur <br> zulassen willst, dann musst Du alle anderen HTML-Tags als "Exclude"-Tags notieren. Dabei uebersieht man vielleicht ein paar Tags. Wenn Du aber eine Whitelist hast, dann brauchst Du nur das <br> aufzuschreiben...

ich würde stattdessen bbcode vorschlagen. ist vermutlich das einfachste
und hier damit das sicherste. auf alles andere HTML::Entities loslassen.

Danke für eure Vorschläge.
Werde das jetzt mal schrittweise umsetzen.

Eine Frage ist mir noch eingefallen:
wie kann ich feststellen ob ein Formular von meinem Skript stammt oder ob da jemand Formulardaten direkt an das Skript sendet?

[quote=Bauhaus,16.12.2005, 11:17]wie kann ich feststellen ob ein Formular von meinem Skript stammt oder ob da jemand Formulardaten direkt an das Skript sendet?[/quote]
Wenn du beim Holen des Formulars eine ID als verstecktes Feld hinzufügst.
Diese verschlüsselte ID sollte sich bei jedem holen ändern, aber mit Entschlüsselung bestimmte Eigenschaften haben, die nur du mit in die ID gegeben haben kannst.

unverschlüssete ID:
Fortlaufende_Nummer+Mein_besondere_Kennung+timestamp\n\n

<!--EDIT|GwenDragon|1134731054-->

[quote=GwenDragon,16.12.2005, 11:57]Wenn du beim Holen des Formulars eine ID als verstecktes Feld hinzufügst.
Diese verschlüsselte ID sollte sich bei jedem holen ändern, aber mit Entschlüsselung bestimmte Eigenschaften haben, die nur du mit in die ID gegeben haben kannst.

unverschlüssete ID:
Fortlaufende_Nummer+Mein_besondere_Kennung+timestamp[/quote]
Meinst du
<input type="hidden" ... > ?

[quote=Bauhaus,16.12.2005, 11:17]Eine Frage ist mir noch eingefallen:
wie kann ich feststellen ob ein Formular von meinem Skript stammt oder ob da jemand Formulardaten direkt an das Skript sendet?[/quote]
ich muss gwendragon wiedersprechen. die antwort lautet imo "das kannst du nicht".

der webbrowser ist ein programm auf dem rechner des benutzers welches sich deiner kontrolle entzieht. alle kontrollmechanissmen die voraussetzen, dass der browser irgendetwas bestimmtes tut oder verhindert können umgangen werden. wenn ich also daten bei dir einschleusen will, dann kann ich mir erst einmal das formular von deiner seite holen, und dann eine entsprechende antwort basteln. gehe immer davon aus, dass formulardaten alles mögliche enthalten können. es sind usereingaben und sollten auch so behandelt werden.

[quote=Taulmarill,16.12.2005, 13:41][quote=Bauhaus,16.12.2005, 11:17]Eine Frage ist mir noch eingefallen:
wie kann ich feststellen ob ein Formular von meinem Skript stammt oder ob da jemand Formulardaten direkt an das Skript sendet?[/quote]
ich muss gwendragon wiedersprechen. die antwort lautet imo "das kannst du nicht".

der webbrowser ist ein programm auf dem rechner des benutzers welches sich deiner kontrolle entzieht. alle kontrollmechanissmen die voraussetzen, dass der browser irgendetwas bestimmtes tut oder verhindert können umgangen werden. wenn ich also daten bei dir einschleusen will, dann kann ich mir erst einmal das formular von deiner seite holen, und dann eine entsprechende antwort basteln. gehe immer davon aus, dass formulardaten alles mögliche enthalten können. es sind usereingaben und sollten auch so behandelt werden.[/quote]
Irgendwo hab ich mal gelesen dass die Formularherkunft per $ENV{'REMOTE_ADDR'} ermittelt werden kann; aber wie das funktionieren soll ist mir absolut schleierhaft.
Kennt jemand von euch eine solche Methode?

[quote=pq,16.12.2005, 00:59]ich würde stattdessen bbcode vorschlagen. ist vermutlich das einfachste
und hier damit das sicherste. auf alles andere HTML::Entities loslassen.[/quote]
Ich möchte aber sehr gern das Programm HtmlArea einsetzen und den User damit von der Eingabe eigener HTML Tags befreien.

[quote=renee,15.12.2005, 22:43]Eine Whitelist, wie esskar schon vorgeschlagen hat. Wenn Du z.B. nur <br> zulassen willst, dann musst Du alle anderen HTML-Tags als "Exclude"-Tags notieren. Dabei uebersieht man vielleicht ein paar Tags. Wenn Du aber eine Whitelist hast, dann brauchst Du nur das <br> aufzuschreiben...[/quote]
Also wenn ich Formatierungs-Tags und eventuell auch noch Tables zulasse, dann wird die whitelist doch sehr umfangreich.
Als blacklist habe ich jetzt:

script
applet
src
inline
embed
system
exex
eval
grep
xterm
xhost
virtual
include

Fällt euch dazu noch was ein?

Edit:
hier nochmal der Code zur Liste
\n\n

<!--EDIT|Bauhaus|1134745375-->