Gegen Bilderklau - Das Original (https://www.gegen-bilderklau.net/index.php)
- Design, Website, Copyright (https://www.gegen-bilderklau.net/board.php?boardid=80)
--- Homepagehilfe (https://www.gegen-bilderklau.net/board.php?boardid=27)
---- Homepagehilfe - Archiv (https://www.gegen-bilderklau.net/board.php?boardid=139)
----- [PHP & MySQL] html tags verbietn hilfe! :[ (https://www.gegen-bilderklau.net/thread.php?threadid=140910)
Geschrieben von downmaker am 17.09.2008 um 01:39:
html tags verbietn hilfe! :[
Hallo leute,
erst muss ich sagen schönes Forum hab ihr hier
ok.. nun zu meinem problem, anscheinend ist es ein kleines problem, aber
ich hab echt schon alles mit google versucht zu finden aber nichts passendes gefunden..
Es geht darum, ich habe eine seite wo man "suchen" kann.
Diese suche wird ausgenutzt um die seite mit XSS anzugreifen.
Also es ist alles erlaub wie zB. iframe selber laden, oder farbig schreibt halt alles mit den < zeichen usw...
Habe in den ergebnissen gesehen das einige versucht haben eine cookie steal pear java hoch zu laden.
Naja und ich will jetzt alle html tags für alle dateien verbietn wie zb
search.php, results.php und man kann sogar html tag anwenden in der domain do wo die cathegory id steht
habe über google immer das hier gefunden
| code: |
1:
|
$string = strip_tags($string); |
|
aber wo soll ich das bitteschön reinbauen???
also ich hab es versucht irgendwo in der header, footer, index, search usw datei reinzupacken ....aber da kommt entweder ein fehler und die seite geht nicht mehr oder es hat keine veränderung.
muss ich das vllt über mysql eingeben???
habe echt keine ahnung :| hoffe jemand kann mir von euch weiter helfen.
wenn ihr mehr infos braucht fragt bitte nach!
mfg downy
Geschrieben von Stelo am 17.09.2008 um 14:43:
Läds du die Inhalte aus einer Datenbank?
Und habe ich richtig verstanden, dass nun die HTML-Tags nicht mehr ausgeführt werden sollen?
Dann einfach den Text aus der Datenbank auslesen, in einer Variablen speichern und dann:
| php: |
1:
|
$text = htmlentities($text); |
|
Bzw. das musst du mit allen Variablen machen, die ausgegeben werden sollen.
Ich hoffe ich konnte dir helfen, ansonsten frag ruhig noch mal. ^^
Geschrieben von downmaker am 17.09.2008 um 15:17:
Hallo Stelo,
ja es sollen keine html tags ausgeführt werden....man kann jetzt
alles machen wie bei der suche <font color=red>test</font>
eingeben und der text wird dann in rot angezeigt...das gleiche gilt
auch für java befehle und da es gefährlich ist solche sachen für
die besucher zuzulassen wollte ich das ganz ausschalten.
also die seite musste ich mit einer mysql datenbank installieren.
ich denke mal das läuft auch darüber.
also von datenbanken hab ich wenig plan... ich kann sowas
wie sql exportieren und die standart sachen aber mehr auch nicht.
Wo und wie welchen Text muss ich denn auslesen?
ich hab mal einen screnshot gemacht von meiner datenbank.
ps: die codierung ist alles auf schwedisch...vllt ist es deswegen???
Geschrieben von Stelo am 17.09.2008 um 15:35:
Na ja, wie sieht denn der Code der Datei aus, mit der du die Inhalte ausgibst? ^^
Muss irgend eine PHP Datei sein!
Geschrieben von downmaker am 17.09.2008 um 17:19:
ja toll irgend eine php datei... ich hab da ca. 30 php dateien..
hier ist mal der code was im result.php drine ist. lg
| php: |
1:
|
<?php include("rheader.php"); ?> <?php if ($_REQUEST['searchingred']) { $searchingred = $_REQUEST['searchingred']; } if ($_REQUEST['pagenum']) {$pagenum = $_REQUEST['pagenum'];} $searchingred = mysql_real_escape_string($searchingred); $pagenum = mysql_real_escape_string($pagenum); $sql = "select * from search_terms where term = '$searchingred'"; $result = mysql_query($sql ,$db); if (mysql_num_rows($result) > 0) { $row = mysql_fetch_row($result); $count = $row[1]; $newcount = $count + 1; $sql = "update search_terms set count = $newcount where term = '$searchingred'"; } else { $sql = "insert into search_terms (term, count) values ('$searchingred', 1)"; } $result = mysql_query($sql ,$db); ?> <TD VALIGN=top width="60%" BGCOLOR="000000"> <TABLE BORDER=0 WIDTH=99% ALIGN=CENTER> <TR> <TD VALIGN=top> <TABLE BORDER=0 CELLPADDING=0 CELLSPACING=0 WIDTH=100% BGCOLOR=000000> <TR><TD align=center><FONT SIZE=2 FACE="Verdana,arial,helvetica" color=white><B>Gefunden</B></FONT></TD></tR> </TABLE> <FONT SIZE=2> <p><center> <img src="suche2.jpg"></font><FONT face=arial size=2 color=0099CC></b></br><b><FONT face=arial size=8><?php printf($searchingred); ?></font><FONT face=arial size=8></font></center></p> <table cellspacing=0 cellpadding=2 border=0> <tr> <th width=300 bgcolor=#0099CC align=center><FONT face=arial size=2><b>Wallpaper</font></th> <th width=85 bgcolor=#0099CC align=center><FONT face=arial size=2><b<Datum</font></th> <th width=75 bgcolor=#0099CC align=center><FONT face=arial size=2><b>Bewertung</font></th> </tr> <?php $sql = "select distinct wallpaperid from wallpaper where title like '%$searchingred%'"; $result = mysql_query($sql ,$db); $numrows = mysql_numrows($result); $lastpage = false; if ($pagenum == 0) { $startrow = 0; } else { $startrow = 25 * $pagenum; } if ($numrows < $startrow + 25) { $endrow = $numrows; $lastpage = true; } $sql = "select distinct wallpaperid from wallpaper where title like '%$searchingred%' limit $startrow,25"; $result = mysql_query($sql ,$db); $wallpapercount = 1; if ($myrow = mysql_fetch_array($result)) { do { $wallpaperid[$wallpapercount] = $myrow["wallpaperid"]; $wallpapercount++; } while ($myrow = mysql_fetch_array($result)); } if (count($wallpaperid) == 0) { printf("<tr><td colspan=3><p><center><FONT face=arial size=3><b>Es wurde leider nichts gefunden.</b></font></center></p></td></tr>"); } else { $rowcolor = 1; for ($d = 1; $d <= count($wallpaperid); $d++) { $sql = "select wallpaperid, title, date, rating, status from wallpaper where wallpaperid = $wallpaperid[$d]"; $result = mysql_query($sql ,$db); if ($myrow = mysql_fetch_array($result)) { do { if ($myrow["status"] == "L") { if ($rowcolor == 1) { $rowcolorhex = "#ffffff"; $rowcolor = 0; } else { $rowcolorhex = "#ffffff"; $rowcolor = 1; } printf("<tr>"); printf("<td width=300 bgcolor=%s align=center><FONT face=arial size=2><a href=wallpaper.php?wallpaperid=%s>%s</a></font></td>", $rowcolorhex, $myrow["wallpaperid"], $myrow["title"]); printf("<td width=80 bgcolor=%s align=center><FONT face=arial size=2>%s</font></td>", $rowcolorhex, $myrow["date"]); printf("<td width=75 bgcolor=%s><table bgcolor=%s border=0 cellspacing=0 cellpadding=0><tr>", $rowcolorhex, $rowcolorhex); $onstars = round($myrow["rating"]); $offstars = 5 - $onstars; for ($i = 1; $i <= $onstars; $i++) { printf("<td width=15 bgcolor=%s align=center valign=center><FONT face=arial size=2><img src=images/staron2.gif></font></td>", $rowcolorhex); } for ($f = 1; $f <= $offstars; $f++) { printf("<td width=15 bgcolor=%s align=center valign=center><FONT face=arial size=2><img src=images/staroff2.gif></font></td>", $rowcolorhex); } printf("</tr></table></td>"); printf("</tr>"); } } while ($myrow = mysql_fetch_array($result)); } } } printf("<tr>"); if ($startrow > 0) { printf("<td align=left><FONT face=arial size=2><a href=results.php?pagenum=%s&searchingred=%s>Previous Page</a></font></td>", $pagenum-1, $searchingred); } else { printf("<td> </td>"); } printf("<td> </td>"); if ($lastpage == false) { printf("<td align=left><FONT face=arial size=2><a href=results.php?pagenum=%s&searchingred=%s>Next Page</a></font></td>", $pagenum+1, $searchingred); } else { printf("<td> </td>"); } printf("</tr>"); ?> </table> <br><center><font size=8 face='Arial'><b>Weiter Suchen</b></font> <br></br></br><form action=results.php method=post><input type=text name=searchingred size=40> <input type=submit value=Los!></form> </center> </FONT> </TD></TR></TABLE> </TD> <?php include("rfooter.php"); ?> |
|
Geschrieben von Stelo am 17.09.2008 um 17:29:
Kannst du die ganze Sache vllt. mal MIT Zeilenumbrüchen rein stellen?
So hab ich leider GAR keinen Überblick. Tut mir leid.
Geschrieben von downmaker am 17.09.2008 um 17:37:
meinste so? ^^
| php: |
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
63:
64:
65:
66:
67:
68:
69:
70:
71:
72:
73:
74:
75:
76:
77:
78:
79:
80:
81:
82:
83:
84:
85:
86:
87:
88:
89:
90:
91:
92:
93:
94:
95:
96:
97:
98:
99:
100:
101:
102:
103:
104:
105:
106:
107:
108:
109:
110:
111:
112:
113:
114:
115:
116:
117:
118:
119:
120:
121:
122:
123:
124:
125:
126:
127:
128:
129:
130:
131:
132:
133:
134:
135:
136:
137:
138:
139:
140:
141:
142:
143:
144:
145:
146:
147:
148:
149:
150:
151:
152:
153:
154:
155:
156:
157:
158:
159:
160:
161:
162:
163:
164:
165:
166:
167:
168:
169:
170:
171:
172:
173:
174:
175:
176:
177:
178:
179:
180:
|
<?php include("rheader.php"); ?>
<?php
if ($_REQUEST['searchingred']) { $searchingred = $_REQUEST['searchingred']; }
if ($_REQUEST['pagenum']) {$pagenum = $_REQUEST['pagenum'];}
$searchingred = mysql_real_escape_string($searchingred);
$pagenum = mysql_real_escape_string($pagenum);
$sql = "select * from search_terms where term = '$searchingred'";
$result = mysql_query($sql ,$db);
if (mysql_num_rows($result) > 0) {
$row = mysql_fetch_row($result);
$count = $row[1];
$newcount = $count + 1;
$sql = "update search_terms set count = $newcount where term = '$searchingred'";
} else {
$sql = "insert into search_terms (term, count) values ('$searchingred', 1)";
}
$result = mysql_query($sql ,$db);
?>
<TD VALIGN=top width="60%" BGCOLOR="000000">
<TABLE BORDER=0 WIDTH=99% ALIGN=CENTER>
<TR>
<TD VALIGN=top>
<TABLE BORDER=0 CELLPADDING=0 CELLSPACING=0 WIDTH=100% BGCOLOR=000000>
<TR><TD align=center><FONT SIZE=2 FACE="Verdana,arial,helvetica" color=white><B>Gefunden</B></FONT></TD></tR>
</TABLE>
<FONT SIZE=2>
<p><center> <img src="suche2.jpg"></font><FONT face=arial size=2 color=0099CC></b></br><b><FONT face=arial size=8><?php printf($searchingred); ?></font><FONT face=arial size=8></font></center></p>
<table cellspacing=0 cellpadding=2 border=0>
<tr>
<th width=300 bgcolor=#0099CC align=center><FONT face=arial size=2><b>Wallpaper</font></th>
<th width=85 bgcolor=#0099CC align=center><FONT face=arial size=2><b<Datum</font></th>
<th width=75 bgcolor=#0099CC align=center><FONT face=arial size=2><b>Bewertung</font></th>
</tr>
<?php
$sql = "select distinct wallpaperid from wallpaper where title like '%$searchingred%'";
$result = mysql_query($sql ,$db);
$numrows = mysql_numrows($result);
$lastpage = false;
if ($pagenum == 0) {
$startrow = 0;
} else {
$startrow = 25 * $pagenum;
}
if ($numrows < $startrow + 25) {
$endrow = $numrows;
$lastpage = true;
}
$sql = "select distinct wallpaperid from wallpaper where title like '%$searchingred%' limit $startrow,25";
$result = mysql_query($sql ,$db);
$wallpapercount = 1;
if ($myrow = mysql_fetch_array($result)) {
do {
$wallpaperid[$wallpapercount] = $myrow["wallpaperid"];
$wallpapercount++;
} while ($myrow = mysql_fetch_array($result));
}
if (count($wallpaperid) == 0) {
printf("<tr><td colspan=3><p><center><FONT face=arial size=3><b>Es wurde leider nichts gefunden.</b></font></center></p></td></tr>");
} else {
$rowcolor = 1;
for ($d = 1; $d <= count($wallpaperid); $d++) {
$sql = "select wallpaperid, title, date, rating, status from wallpaper where wallpaperid = $wallpaperid[$d]";
$result = mysql_query($sql ,$db);
if ($myrow = mysql_fetch_array($result)) {
do {
if ($myrow["status"] == "L") {
if ($rowcolor == 1) {
$rowcolorhex = "#ffffff";
$rowcolor = 0;
} else {
$rowcolorhex = "#ffffff";
$rowcolor = 1;
}
printf("<tr>");
printf("<td width=300 bgcolor=%s align=center><FONT face=arial size=2><a href=wallpaper.php?wallpaperid=%s>%s</a></font></td>", $rowcolorhex, $myrow["wallpaperid"], $myrow["title"]);
printf("<td width=80 bgcolor=%s align=center><FONT face=arial size=2>%s</font></td>", $rowcolorhex, $myrow["date"]);
printf("<td width=75 bgcolor=%s><table bgcolor=%s border=0 cellspacing=0 cellpadding=0><tr>", $rowcolorhex, $rowcolorhex);
$onstars = round($myrow["rating"]);
$offstars = 5 - $onstars;
for ($i = 1; $i <= $onstars; $i++) {
printf("<td width=15 bgcolor=%s align=center valign=center><FONT face=arial size=2><img src=images/staron2.gif></font></td>", $rowcolorhex);
}
for ($f = 1; $f <= $offstars; $f++) {
printf("<td width=15 bgcolor=%s align=center valign=center><FONT face=arial size=2><img src=images/staroff2.gif></font></td>", $rowcolorhex);
}
printf("</tr></table></td>");
printf("</tr>");
}
} while ($myrow = mysql_fetch_array($result));
}
}
}
printf("<tr>");
if ($startrow > 0) {
printf("<td align=left><FONT face=arial size=2><a href=results.php?pagenum=%s&searchingred=%s>Previous Page</a></font></td>", $pagenum-1, $searchingred);
} else {
printf("<td> </td>");
}
printf("<td> </td>");
if ($lastpage == false) {
printf("<td align=left><FONT face=arial size=2><a href=results.php?pagenum=%s&searchingred=%s>Next Page</a></font></td>", $pagenum+1, $searchingred);
} else {
printf("<td> </td>");
}
printf("</tr>");
?>
</table>
<br><center><font size=8 face='Arial'><b>Weiter Suchen</b></font>
<br></br></br><form action=results.php method=post><input type=text name=searchingred size=40> <input type=submit value=Los!></form>
</center>
</FONT>
</TD></TR></TABLE>
</TD>
<?php include("rfooter.php"); ?>
|
|
Geschrieben von Stelo am 17.09.2008 um 17:40:
Das ist jetzt aber eine Datei für Suchergebnisse. Ich denke nicht, dass da dein Problem mit den HTML-Tags liegt, oder?
Geschrieben von downmaker am 17.09.2008 um 18:16:
das weiss ich ja selber nicht ...also ich wollte ja eigentlich bei suche die
html tags verbieten weil da ja die html tags verwendet werden zum großteil.
edit:
Hier sind alle php datein vom script
| code: |
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
|
addwallpaper.php
bannerclick.php
category.php
common.php
config.php
creatuser.php
dbx.php
dlwallpaper.php
forgot.php
index.php
listuserwallpaper.php
login.php
logout.php
newuser.php
results.php
footer.php
header.php
savewallpaper.php
search.php
senddetails.php
subscribe.php
unsubscribe.php
wallpaper.php |
|
und es gibt noch einen admin ordner mit php datein...
mfg Downy
Geschrieben von downmaker am 20.09.2008 um 14:15:
toll kann mir keiner helfen oder was... bin 0% schlauer geworden lol
naja nappys
Forensoftware: Burning Board, entwickelt von WoltLab GmbH
