Gegen Bilderklau - Das Original » Design, Website, Copyright » Homepagehilfe » Homepagehilfe - Archiv » [PHP & MySQL] html tags verbietn hilfe! :[

[PHP & MySQL] html tags verbietn hilfe! :[

downmaker
Hallo leute,

erst muss ich sagen schönes Forum hab ihr hiersmile

ok.. nun zu meinem problem, anscheinend ist es ein kleines problem, aber
ich hab echt schon alles mit google versucht zu finden aber nichts passendes gefunden..

Es geht darum, ich habe eine seite wo man "suchen" kann.
Diese suche wird ausgenutzt um die seite mit XSS anzugreifen.
Also es ist alles erlaub wie zB. iframe selber laden, oder farbig schreibt halt alles mit den < zeichen usw...

Habe in den ergebnissen gesehen das einige versucht haben eine cookie steal pear java hoch zu laden.

Naja und ich will jetzt alle html tags für alle dateien verbietn wie zb
search.php, results.php und man kann sogar html tag anwenden in der domain do wo die cathegory id steht unglücklich

habe über google immer das hier gefunden
code: 
1:

$string = strip_tags($string);


aber wo soll ich das bitteschön reinbauen???

also ich hab es versucht irgendwo in der header, footer, index, search usw datei reinzupacken ....aber da kommt entweder ein fehler und die seite geht nicht mehr oder es hat keine veränderung.

muss ich das vllt über mysql eingeben???
habe echt keine ahnung :| hoffe jemand kann mir von euch weiter helfen.

wenn ihr mehr infos braucht fragt bitte nach!

mfg downy
Stelo
Läds du die Inhalte aus einer Datenbank?
Und habe ich richtig verstanden, dass nun die HTML-Tags nicht mehr ausgeführt werden sollen?

Dann einfach den Text aus der Datenbank auslesen, in einer Variablen speichern und dann:

php: 
1:

$text htmlentities($text);

Bzw. das musst du mit allen Variablen machen, die ausgegeben werden sollen.

Ich hoffe ich konnte dir helfen, ansonsten frag ruhig noch mal. ^^
downmaker
Hallo Stelo,

ja es sollen keine html tags ausgeführt werden....man kann jetzt
alles machen wie bei der suche <font color=red>test</font>
eingeben und der text wird dann in rot angezeigt...das gleiche gilt
auch für java befehle und da es gefährlich ist solche sachen für
die besucher zuzulassen wollte ich das ganz ausschalten.

also die seite musste ich mit einer mysql datenbank installieren.
ich denke mal das läuft auch darüber.

also von datenbanken hab ich wenig plan... ich kann sowas
wie sql exportieren und die standart sachen aber mehr auch nicht.
Wo und wie welchen Text muss ich denn auslesen? unglücklich

ich hab mal einen screnshot gemacht von meiner datenbank.

ps: die codierung ist alles auf schwedisch...vllt ist es deswegen???

Stelo
Na ja, wie sieht denn der Code der Datei aus, mit der du die Inhalte ausgibst? ^^
Muss irgend eine PHP Datei sein! Augenzwinkern
downmaker
ja toll irgend eine php datei... ich hab da ca. 30 php dateien.. großes Grinsen

hier ist mal der code was im result.php drine ist. lg

php: 
1:

<?php include("rheader.php"); ?>  <?php     if ($_REQUEST['searchingred']) { $searchingred $_REQUEST['searchingred']; }    if ($_REQUEST['pagenum']) {$pagenum $_REQUEST['pagenum'];}     $searchingred mysql_real_escape_string($searchingred);    $pagenum mysql_real_escape_string($pagenum);     $sql "select * from search_terms where term = '$searchingred'";     $result mysql_query($sql ,$db);     if (mysql_num_rows($result) > 0) {        $row mysql_fetch_row($result);       $count $row[1];       $newcount $count 1;       $sql "update search_terms set count = $newcount where term = '$searchingred'";     } else {        $sql "insert into search_terms (term, count) values ('$searchingred', 1)";     }     $result mysql_query($sql ,$db);       ?>  <TD VALIGN=top width="60%" BGCOLOR="000000">  <TABLE BORDER=0 WIDTH=99% ALIGN=CENTER> <TR>  <TD VALIGN=top>  <TABLE BORDER=0 CELLPADDING=0 CELLSPACING=0 WIDTH=100% BGCOLOR=000000> <TR><TD align=center><FONT SIZE=2 FACE="Verdana,arial,helvetica" color=white><B>Gefunden</B></FONT></TD></tR> </TABLE>  <FONT SIZE=2>                     <p><center> <img src="suche2.jpg"></font><FONT face=arial size=2 color=0099CC></b></br><b><FONT face=arial size=8><?php printf($searchingred); ?></font><FONT face=arial size=8></font></center></p>                    <table cellspacing=0 cellpadding=2 border=0>                      <tr>                         <th width=300 bgcolor=#0099CC align=center><FONT face=arial size=2><b>Wallpaper</font></th>                         <th width=85 bgcolor=#0099CC align=center><FONT face=arial size=2><b<Datum</font></th>                         <th width=75 bgcolor=#0099CC align=center><FONT face=arial size=2><b>Bewertung</font></th>                      </tr>                       <?php                          $sql "select distinct wallpaperid from wallpaper where title like '%$searchingred%'";                          $result mysql_query($sql ,$db);                         $numrows mysql_numrows($result);                          $lastpage false;                          if ($pagenum == 0) {                            $startrow 0;                         } else {                            $startrow 25 $pagenum;                         }                          if ($numrows $startrow 25) {                            $endrow $numrows;                            $lastpage true;                         }                          $sql "select distinct wallpaperid from wallpaper where title like '%$searchingred%' limit $startrow,25";                          $result mysql_query($sql ,$db);                          $wallpapercount 1;                          if ($myrow mysql_fetch_array($result)) {                             do {                                $wallpaperid[$wallpapercount] = $myrow["wallpaperid"];                               $wallpapercount++;                             } while ($myrow mysql_fetch_array($result));                          }                          if (count($wallpaperid) == 0) {                             printf("<tr><td colspan=3><p><center><FONT face=arial size=3><b>Es wurde leider nichts gefunden.</b></font></center></p></td></tr>");                          } else {                             $rowcolor 1;                             for ($d 1$d <= count($wallpaperid); $d++) {                                   $sql "select wallpaperid, title, date, rating, status from wallpaper where wallpaperid = $wallpaperid[$d]";                                $result mysql_query($sql ,$db);                                if ($myrow mysql_fetch_array($result)) {                                   do {                                      if ($myrow["status"] == "L") {                                         if ($rowcolor == 1) {                                           $rowcolorhex "#ffffff";                                           $rowcolor 0;                                        } else {                                           $rowcolorhex "#ffffff";                                           $rowcolor 1;                                        }                                          printf("<tr>");                                        printf("<td width=300 bgcolor=%s align=center><FONT face=arial size=2><a href=wallpaper.php?wallpaperid=%s>%s</a></font></td>"$rowcolorhex$myrow["wallpaperid"], $myrow["title"]);                                        printf("<td width=80 bgcolor=%s align=center><FONT face=arial size=2>%s</font></td>"$rowcolorhex$myrow["date"]);                                        printf("<td width=75 bgcolor=%s><table bgcolor=%s border=0 cellspacing=0 cellpadding=0><tr>"$rowcolorhex$rowcolorhex);                                         $onstars round($myrow["rating"]);                                        $offstars $onstars;                                         for ($i 1$i <= $onstars$i++) {                                           printf("<td width=15 bgcolor=%s align=center valign=center><FONT face=arial size=2><img src=images/staron2.gif></font></td>"$rowcolorhex);                                        }                                         for ($f 1$f <= $offstars$f++) {                                           printf("<td width=15 bgcolor=%s align=center valign=center><FONT face=arial size=2><img src=images/staroff2.gif></font></td>"$rowcolorhex);                                        }                                         printf("</tr></table></td>");                                        printf("</tr>");                                      }                                   } while ($myrow mysql_fetch_array($result));                                }                             }                         }                          printf("<tr>");                         if ($startrow 0) {                            printf("<td align=left><FONT face=arial size=2><a href=results.php?pagenum=%s&searchingred=%s>Previous Page</a></font></td>"$pagenum-1$searchingred);                         } else {                            printf("<td>&nbsp;</td>");                         }                            printf("<td>&nbsp;</td>");                         if ($lastpage == false) {                            printf("<td align=left><FONT face=arial size=2><a href=results.php?pagenum=%s&searchingred=%s>Next Page</a></font></td>"$pagenum+1$searchingred);                         } else {                            printf("<td>&nbsp;</td>");                         }                         printf("</tr>");                         ?>                   </table>                    <br><center><font size=8 face='Arial'><b>Weiter Suchen</b></font>                   <br></br></br><form action=results.php method=post><input type=text name=searchingred size=40>&nbsp;<input type=submit value=Los!></form>                   </center>  </FONT>  </TD></TR></TABLE>  </TD>   <?php include("rfooter.php"); ?>
Stelo
Kannst du die ganze Sache vllt. mal MIT Zeilenumbrüchen rein stellen?
So hab ich leider GAR keinen Überblick. Tut mir leid.
downmaker
meinste so? ^^

php: 
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
63:
64:
65:
66:
67:
68:
69:
70:
71:
72:
73:
74:
75:
76:
77:
78:
79:
80:
81:
82:
83:
84:
85:
86:
87:
88:
89:
90:
91:
92:
93:
94:
95:
96:
97:
98:
99:
100:
101:
102:
103:
104:
105:
106:
107:
108:
109:
110:
111:
112:
113:
114:
115:
116:
117:
118:
119:
120:
121:
122:
123:
124:
125:
126:
127:
128:
129:
130:
131:
132:
133:
134:
135:
136:
137:
138:
139:
140:
141:
142:
143:
144:
145:
146:
147:
148:
149:
150:
151:
152:
153:
154:
155:
156:
157:
158:
159:
160:
161:
162:
163:
164:
165:
166:
167:
168:
169:
170:
171:
172:
173:
174:
175:
176:
177:
178:
179:
180:

<?php include("rheader.php"); ?>


<?php

   if ($_REQUEST['searchingred']) { $searchingred $_REQUEST['searchingred']; }
   if ($_REQUEST['pagenum']) {$pagenum $_REQUEST['pagenum'];}

   $searchingred mysql_real_escape_string($searchingred);
   $pagenum mysql_real_escape_string($pagenum);

   $sql "select * from search_terms where term = '$searchingred'";

   $result mysql_query($sql ,$db);

   if (mysql_num_rows($result) > 0) {

      $row mysql_fetch_row($result);
      $count $row[1];
      $newcount $count 1;
      $sql "update search_terms set count = $newcount where term = '$searchingred'";

   } else {

      $sql "insert into search_terms (term, count) values ('$searchingred', 1)";

   }

   $result mysql_query($sql ,$db);
     
?>

<TD VALIGN=top width="60%" BGCOLOR="000000">

<TABLE BORDER=0 WIDTH=99% ALIGN=CENTER>
<TR>

<TD VALIGN=top>

<TABLE BORDER=0 CELLPADDING=0 CELLSPACING=0 WIDTH=100% BGCOLOR=000000>
<TR><TD align=center><FONT SIZE=2 FACE="Verdana,arial,helvetica" color=white><B>Gefunden</B></FONT></TD></tR>
</TABLE>

<FONT SIZE=2>

                   <p><center> <img src="suche2.jpg"></font><FONT face=arial size=2 color=0099CC></b></br><b><FONT face=arial size=8><?php printf($searchingred); ?></font><FONT face=arial size=8></font></center></p>

                  <table cellspacing=0 cellpadding=2 border=0>
                     <tr>
                        <th width=300 bgcolor=#0099CC align=center><FONT face=arial size=2><b>Wallpaper</font></th>
                        <th width=85 bgcolor=#0099CC align=center><FONT face=arial size=2><b<Datum</font></th>
                        <th width=75 bgcolor=#0099CC align=center><FONT face=arial size=2><b>Bewertung</font></th>
                     </tr>

                     <?php

                        $sql "select distinct wallpaperid from wallpaper where title like '%$searchingred%'";

                        $result mysql_query($sql ,$db);
                        $numrows mysql_numrows($result);

                        $lastpage false;

                        if ($pagenum == 0) {
                           $startrow 0;
                        } else {
                           $startrow 25 $pagenum;
                        }

                        if ($numrows $startrow 25) {
                           $endrow $numrows;
                           $lastpage true;
                        }

                        $sql "select distinct wallpaperid from wallpaper where title like '%$searchingred%' limit $startrow,25";

                        $result mysql_query($sql ,$db);

                        $wallpapercount 1;

                        if ($myrow mysql_fetch_array($result)) {

                           do {

                              $wallpaperid[$wallpapercount] = $myrow["wallpaperid"];
                              $wallpapercount++;

                           } while ($myrow mysql_fetch_array($result));

                        }

                        if (count($wallpaperid) == 0) {

                           printf("<tr><td colspan=3><p><center><FONT face=arial size=3><b>Es wurde leider nichts gefunden.</b></font></center></p></td></tr>");

                        } else {

                           $rowcolor 1;

                           for ($d 1$d <= count($wallpaperid); $d++) {

                                 $sql "select wallpaperid, title, date, rating, status from wallpaper where wallpaperid = $wallpaperid[$d]";

                              $result mysql_query($sql ,$db);

                              if ($myrow mysql_fetch_array($result)) {

                                 do {

                                    if ($myrow["status"] == "L") {

                                       if ($rowcolor == 1) {
                                          $rowcolorhex "#ffffff";
                                          $rowcolor 0;
                                       } else {
                                          $rowcolorhex "#ffffff";
                                          $rowcolor 1;
                                       }


                                       printf("<tr>");
                                       printf("<td width=300 bgcolor=%s align=center><FONT face=arial size=2><a href=wallpaper.php?wallpaperid=%s>%s</a></font></td>"$rowcolorhex$myrow["wallpaperid"], $myrow["title"]);
                                       printf("<td width=80 bgcolor=%s align=center><FONT face=arial size=2>%s</font></td>"$rowcolorhex$myrow["date"]);
                                       printf("<td width=75 bgcolor=%s><table bgcolor=%s border=0 cellspacing=0 cellpadding=0><tr>"$rowcolorhex$rowcolorhex);

                                       $onstars round($myrow["rating"]);
                                       $offstars $onstars;

                                       for ($i 1$i <= $onstars$i++) {
                                          printf("<td width=15 bgcolor=%s align=center valign=center><FONT face=arial size=2><img src=images/staron2.gif></font></td>"$rowcolorhex);
                                       }

                                       for ($f 1$f <= $offstars$f++) {
                                          printf("<td width=15 bgcolor=%s align=center valign=center><FONT face=arial size=2><img src=images/staroff2.gif></font></td>"$rowcolorhex);
                                       }

                                       printf("</tr></table></td>");
                                       printf("</tr>");

                                    }

                                 } while ($myrow mysql_fetch_array($result));

                              }

                           }
                        }

                        printf("<tr>");
                        if ($startrow 0) {
                           printf("<td align=left><FONT face=arial size=2><a href=results.php?pagenum=%s&searchingred=%s>Previous Page</a></font></td>"$pagenum-1$searchingred);
                        } else {
                           printf("<td>&nbsp;</td>");
                        }
                           printf("<td>&nbsp;</td>");
                        if ($lastpage == false) {
                           printf("<td align=left><FONT face=arial size=2><a href=results.php?pagenum=%s&searchingred=%s>Next Page</a></font></td>"$pagenum+1$searchingred);
                        } else {
                           printf("<td>&nbsp;</td>");
                        }
                        printf("</tr>");



                     ?>
                  </table>

                  <br><center><font size=8 face='Arial'><b>Weiter Suchen</b></font>
                  <br></br></br><form action=results.php method=post><input type=text name=searchingred size=40>&nbsp;<input type=submit value=Los!></form>
                  </center>

</FONT>

</TD></TR></TABLE>

</TD>


<?php include("rfooter.php"); ?>
Stelo
Das ist jetzt aber eine Datei für Suchergebnisse. Ich denke nicht, dass da dein Problem mit den HTML-Tags liegt, oder?
downmaker
das weiss ich ja selber nicht ...also ich wollte ja eigentlich bei suche die
html tags verbieten weil da ja die html tags verwendet werden zum großteil.

edit:

Hier sind alle php datein vom script
code: 
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:

addwallpaper.php
bannerclick.php
category.php
common.php
config.php
creatuser.php
dbx.php
dlwallpaper.php
forgot.php
index.php
listuserwallpaper.php
login.php
logout.php
newuser.php
results.php
footer.php
header.php
savewallpaper.php
search.php
senddetails.php
subscribe.php
unsubscribe.php
wallpaper.php


und es gibt noch einen admin ordner mit php datein...
mfg Downy
downmaker
toll kann mir keiner helfen oder was... bin 0% schlauer geworden lol
naja nappys fröhlich
Forensoftware: Burning Board, entwickelt von WoltLab GmbH