/ Forside / Teknologi / Udvikling / PHP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
PHP
#NavnPoint
rfh 3959
natmaden 3372
poul_from 3310
funbreak 2700
stone47 2230
Jin2k 1960
Angband 1743
Bjerner 1249
refi 1185
10  Interkril.. 1146
MSHTML Editor/PHP sikrer sin server mod mi~
Fra : Rune Christensen


Dato : 19-06-06 08:20

Hej

Jeg er ved at fremstille et hjemmeside opdateringsmodul ved at bruge MSHTML
editoren i Internet Explorer.

www.htmleditor.christ-os.dk

Den anvender en formular med metoden POST for at sende den færdige
hjemmeside til et PHP script. Hvordan sikrer man sig mod hackere som vil
kunne sende html kode til mit script som ikke er fremstillet af MSHTML
editoren? Altså html kode som ikke er fremstillet under kontrolerede
forhold.

Det skal lige siges at den endelige løsning skal være beskyttet af login,
således det ikke er alle som kan rette i hjemmesiden.

Jeg forventer det må være noget i retningen af at man sortere javascript og
<html> <head> ting fra som normalt ikke vil være med i html koden fra MSHTML
editoren. MSHTML editoren giver kun <body></body> delen af html koden til
mit script.

Mvh.
Rune Christensen



 
 
Michael Rasmussen (19-06-2006)
Kommentar
Fra : Michael Rasmussen


Dato : 19-06-06 09:25

On Mon, 19 Jun 2006 09:19:30 +0200, Rune Christensen wrote:

> Hvordan sikrer man sig mod hackere som vil
> kunne sende html kode til mit script som ikke er fremstillet af MSHTML
> editoren? Altså html kode som ikke er fremstillet under kontrolerede
> forhold.
>
Jeg vil mene, at mine håndkodede html-sider er under mere kontrollerede
forhold end, hvad nogen editor kan levere. Så hvorfor denne tåbelige
begrænsning?

>
> Jeg forventer det må være noget i retningen af at man sortere
> javascript og <html> <head> ting fra som normalt ikke vil være med i
> html koden fra MSHTML editoren. MSHTML editoren giver kun <body></body>
> delen af html koden til mit script.
>
Og hvis jeg sender noget html-kode, der tilsvarende har body som
rodelement, hvordan vil du så adskille det?

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917


Dan Storm (19-06-2006)
Kommentar
Fra : Dan Storm


Dato : 19-06-06 10:15

Rune Christensen skrev:
> Jeg er ved at fremstille et hjemmeside opdateringsmodul ved at bruge MSHTML
> editoren i Internet Explorer.
*suk*

> Den anvender en formular med metoden POST for at sende den færdige
> hjemmeside til et PHP script. Hvordan sikrer man sig mod hackere som vil
> kunne sende html kode til mit script som ikke er fremstillet af MSHTML
> editoren? Altså html kode som ikke er fremstillet under kontrolerede
> forhold.
Det kunne gøres ved hjælp af noget henvisningskontrol
($_SERVER['HTTP_REFERER'])

> Jeg forventer det må være noget i retningen af at man sortere
javascript og
> <html> <head> ting fra som normalt ikke vil være med i html koden fra MSHTML
> editoren. MSHTML editoren giver kun <body></body> delen af html koden til
> mit script.
Kig eventuelt på <url: http://dk.php.net/strip_tags>


--
Dan Storm - storm at err0r dot dk / http://err0r.dk

Tro ikke brugerne vil gøre noget for at undgå dit killfilter
- Så vigtig er du heller ikke!

Rune Christensen (19-06-2006)
Kommentar
Fra : Rune Christensen


Dato : 19-06-06 21:21

"Dan Storm" <shadyz@_REMOVETHIS_err0r.dk> skrev i en meddelelse
news:44966b0a$0$74071$edfadb0f@dread14.news.tele.dk...
> Rune Christensen skrev:
>> Jeg er ved at fremstille et hjemmeside opdateringsmodul ved at bruge
>> MSHTML editoren i Internet Explorer.
> *suk*

Personen som jeg laver det til, bruger allerede denne løsning, men kan ikke
få opdateringsmodulet med i forbindelse med flytning til nyt webhotel. Så
der er brug for et nyt opdateringsmodul som er frit tilgængeligt (open
source).

Har du et forslag til en anden løsning end MSHTML editoren?

>
>> Den anvender en formular med metoden POST for at sende den færdige
>> hjemmeside til et PHP script. Hvordan sikrer man sig mod hackere som vil
>> kunne sende html kode til mit script som ikke er fremstillet af MSHTML
>> editoren? Altså html kode som ikke er fremstillet under kontrolerede
>> forhold.
> Det kunne gøres ved hjælp af noget henvisningskontrol
> ($_SERVER['HTTP_REFERER'])
>
> > Jeg forventer det må være noget i retningen af at man sortere
> javascript og
>> <html> <head> ting fra som normalt ikke vil være med i html koden fra
>> MSHTML editoren. MSHTML editoren giver kun <body></body> delen af html
>> koden til mit script.
> Kig eventuelt på <url: http://dk.php.net/strip_tags>
>
>
> --
> Dan Storm - storm at err0r dot dk / http://err0r.dk
>
> Tro ikke brugerne vil gøre noget for at undgå dit killfilter
> - Så vigtig er du heller ikke!

Mvh.
Rune Christensen



Michael Rasmussen (19-06-2006)
Kommentar
Fra : Michael Rasmussen


Dato : 19-06-06 21:57

On Mon, 19 Jun 2006 22:20:58 +0200, Rune Christensen wrote:

> Har du et forslag til en anden løsning end MSHTML editoren?
>
http://sourceforge.net/projects/xsdheditor/
Denne side lister et stort antal forskellige - om den er opdateret, ved
jeg ikke: http://geniisoft.com/showcase.nsf/WebEditors

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917


Michael Zedeler (19-06-2006)
Kommentar
Fra : Michael Zedeler


Dato : 19-06-06 22:14

Michael Rasmussen wrote:
> On Mon, 19 Jun 2006 22:20:58 +0200, Rune Christensen wrote:
>
>
>>Har du et forslag til en anden løsning end MSHTML editoren?
>>
>
> http://sourceforge.net/projects/xsdheditor/

Citat:

As of 2004-09-28 10:12, this project is no longer under active development.

Mvh. Michael.
--
Which is more dangerous? TV guided missiles or TV guided families?
I am less likely to answer usenet postings by anonymous authors.
Visit my home page at http://michael.zedeler.dk/

Rune Christensen (19-06-2006)
Kommentar
Fra : Rune Christensen


Dato : 19-06-06 21:21

"Dan Storm" <shadyz@_REMOVETHIS_err0r.dk> skrev i en meddelelse
news:44966b0a$0$74071$edfadb0f@dread14.news.tele.dk...
> Rune Christensen skrev:
>> Jeg er ved at fremstille et hjemmeside opdateringsmodul ved at bruge
>> MSHTML editoren i Internet Explorer.
> *suk*

Personen som jeg laver det til, bruger allerede denne løsning, men kan ikke
få opdateringsmodulet med i forbindelse med flytning til nyt webhotel. Så
der er brug for et nyt opdateringsmodul som er frit tilgængeligt (open
source).

Har du et forslag til en anden løsning end MSHTML editoren?

>
>> Den anvender en formular med metoden POST for at sende den færdige
>> hjemmeside til et PHP script. Hvordan sikrer man sig mod hackere som vil
>> kunne sende html kode til mit script som ikke er fremstillet af MSHTML
>> editoren? Altså html kode som ikke er fremstillet under kontrolerede
>> forhold.
> Det kunne gøres ved hjælp af noget henvisningskontrol
> ($_SERVER['HTTP_REFERER'])
>
> > Jeg forventer det må være noget i retningen af at man sortere
> javascript og
>> <html> <head> ting fra som normalt ikke vil være med i html koden fra
>> MSHTML editoren. MSHTML editoren giver kun <body></body> delen af html
>> koden til mit script.
> Kig eventuelt på <url: http://dk.php.net/strip_tags>
>
>
> --
> Dan Storm - storm at err0r dot dk / http://err0r.dk
>
> Tro ikke brugerne vil gøre noget for at undgå dit killfilter
> - Så vigtig er du heller ikke!

Mvh.
Rune Christensen



Michael Zedeler (19-06-2006)
Kommentar
Fra : Michael Zedeler


Dato : 19-06-06 11:06

Rune Christensen wrote:
> Hej
>
> Jeg er ved at fremstille et hjemmeside opdateringsmodul ved at bruge MSHTML
> editoren i Internet Explorer.
>
> www.htmleditor.christ-os.dk
>
> Den anvender en formular med metoden POST for at sende den færdige
> hjemmeside til et PHP script. Hvordan sikrer man sig mod hackere som vil
> kunne sende html kode til mit script som ikke er fremstillet af MSHTML
> editoren? Altså html kode som ikke er fremstillet under kontrolerede
> forhold.

Der er ingen grund til at checke hvordan den færdige hjemmeside (altså
det dit script modtager) er konstrueret. Hvis du har problemer med at
den kan indeholde nogle grimme ting, må du skrive noget kode som
validerer input korrekt.

> Jeg forventer det må være noget i retningen af at man sortere javascript og
> <html> <head> ting fra som normalt ikke vil være med i html koden fra MSHTML
> editoren. MSHTML editoren giver kun <body></body> delen af html koden til
> mit script.

Du er nødt til at validre dit input. En metode kan være at skrive et
XML-skema som er en delm,ængde af xhtml 1.0 og så bruge en xml-parser
til at validere indholdet. Det burde bringe dig langt.

Mvh. Michael.
--
Which is more dangerous? TV guided missiles or TV guided families?
I am less likely to answer usenet postings by anonymous authors.
Visit my home page at http://michael.zedeler.dk/

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408926
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste