[K]
18.04.2005, 14:43
Hallohallo zusammen ;-)
Ich studiere gerade an einem kleinen Problem rum und weiss ned wie ich das am besten lösen soll. Das Problem ist ned das können bzw. ned wissen wie, sondern die Überlegung ob es ned auch einfacher geht.
Situation:
Ich hab einen String (strText) und der enthält die Eingabe von einem Textfeld. Der User kann im Textfeld alles eingeben, es erfolgt keine Clientseitige Prüfung der Eingabe. Die Daten werden anschliessend in einer Datenbank gespeichert.
Was ich tun möchte ist nun folgendes:
1) Sämtliche "gefährlichen" Zeichen entfernen bzw. replacen (-> SQL-Injection)
2) Einige HTML-Tags erlauben bzw. ignorieren
3) Einige HTML-Tag entfernen
Das ist die Ausgangssituation. Auf den Punkt 2) möchte ich noch ein bisschen detaillierter eingehen:
Die Problematik liegt daran, dass es ned nur darum geht schlichte Tags a la <B> oder </B> zu erlauben, sondern auch komplexere a la <FONT COLOR="#xxxxxx"> wobei xxxxxx einem beliebigen HEX-Code entsprechen kann. Dasselbe gilt natürlich für <IMG SRC="xxx"> und ähnliche Tags.
Hat irgendwer eine Idee wie ich das sinnvoll umsetzen kann. Irgendwie schwebt mir die Idee von einer POSITIV-Liste in Form eines Arrays im Kopf rum. Aber das Problem ist dann wiederum, dass es ja nicht fixe Tags sind (COLOR/SRC) sondern eben nur teile davon fix.
Bin für Anregungen und Ideen dankbar ;-)
Gruss
[K]
Ich studiere gerade an einem kleinen Problem rum und weiss ned wie ich das am besten lösen soll. Das Problem ist ned das können bzw. ned wissen wie, sondern die Überlegung ob es ned auch einfacher geht.
Situation:
Ich hab einen String (strText) und der enthält die Eingabe von einem Textfeld. Der User kann im Textfeld alles eingeben, es erfolgt keine Clientseitige Prüfung der Eingabe. Die Daten werden anschliessend in einer Datenbank gespeichert.
Was ich tun möchte ist nun folgendes:
1) Sämtliche "gefährlichen" Zeichen entfernen bzw. replacen (-> SQL-Injection)
2) Einige HTML-Tags erlauben bzw. ignorieren
3) Einige HTML-Tag entfernen
Das ist die Ausgangssituation. Auf den Punkt 2) möchte ich noch ein bisschen detaillierter eingehen:
Die Problematik liegt daran, dass es ned nur darum geht schlichte Tags a la <B> oder </B> zu erlauben, sondern auch komplexere a la <FONT COLOR="#xxxxxx"> wobei xxxxxx einem beliebigen HEX-Code entsprechen kann. Dasselbe gilt natürlich für <IMG SRC="xxx"> und ähnliche Tags.
Hat irgendwer eine Idee wie ich das sinnvoll umsetzen kann. Irgendwie schwebt mir die Idee von einer POSITIV-Liste in Form eines Arrays im Kopf rum. Aber das Problem ist dann wiederum, dass es ja nicht fixe Tags sind (COLOR/SRC) sondern eben nur teile davon fix.
Bin für Anregungen und Ideen dankbar ;-)
Gruss
[K]