---

Hej

Jeg er ved at fremstille et hjemmeside opdateringsmodul ved at bruge MSHTML
editoren i Internet Explorer.

www.htmleditor.christ-os.dk

Den anvender en formular med metoden POST for at sende den færdige
hjemmeside til et PHP script. Hvordan sikrer man sig mod hackere som vil
kunne sende html kode til mit script som ikke er fremstillet af MSHTML
editoren? Altså html kode som ikke er fremstillet under kontrolerede
forhold.

Det skal lige siges at den endelige løsning skal være beskyttet af login,
således det ikke er alle som kan rette i hjemmesiden.

Jeg forventer det må være noget i retningen af at man sortere javascript og
<html> <head> ting fra som normalt ikke vil være med i html koden fra MSHTML
editoren. MSHTML editoren giver kun <body></body> delen af html koden til
mit script.

Mvh.
Rune Christensen

---

On Mon, 19 Jun 2006 09:19:30 +0200, Rune Christensen wrote:

> Hvordan sikrer man sig mod hackere som vil
> kunne sende html kode til mit script som ikke er fremstillet af MSHTML
> editoren? Altså html kode som ikke er fremstillet under kontrolerede
> forhold.
>
Jeg vil mene, at mine håndkodede html-sider er under mere kontrollerede
forhold end, hvad nogen editor kan levere. Så hvorfor denne tåbelige
begrænsning?

>
> Jeg forventer det må være noget i retningen af at man sortere
> javascript og <html> <head> ting fra som normalt ikke vil være med i
> html koden fra MSHTML editoren. MSHTML editoren giver kun <body></body>
> delen af html koden til mit script.
>
Og hvis jeg sender noget html-kode, der tilsvarende har body som
rodelement, hvordan vil du så adskille det?

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

Rune Christensen skrev:
> Jeg er ved at fremstille et hjemmeside opdateringsmodul ved at bruge MSHTML
> editoren i Internet Explorer.
*suk*

> Den anvender en formular med metoden POST for at sende den færdige
> hjemmeside til et PHP script. Hvordan sikrer man sig mod hackere som vil
> kunne sende html kode til mit script som ikke er fremstillet af MSHTML
> editoren? Altså html kode som ikke er fremstillet under kontrolerede
> forhold.
Det kunne gøres ved hjælp af noget henvisningskontrol
($_SERVER['HTTP_REFERER'])

> Jeg forventer det må være noget i retningen af at man sortere
javascript og
> <html> <head> ting fra som normalt ikke vil være med i html koden fra MSHTML
> editoren. MSHTML editoren giver kun <body></body> delen af html koden til
> mit script.
Kig eventuelt på <url: http://dk.php.net/strip_tags>


--
Dan Storm - storm at err0r dot dk / http://err0r.dk

Tro ikke brugerne vil gøre noget for at undgå dit killfilter
- Så vigtig er du heller ikke!

---

"Dan Storm" <shadyz@_REMOVETHIS_err0r.dk> skrev i en meddelelse
news:44966b0a$0$74071$edfadb0f@dread14.news.tele.dk...
> Rune Christensen skrev:
>> Jeg er ved at fremstille et hjemmeside opdateringsmodul ved at bruge
>> MSHTML editoren i Internet Explorer.
> *suk*

Personen som jeg laver det til, bruger allerede denne løsning, men kan ikke
få opdateringsmodulet med i forbindelse med flytning til nyt webhotel. Så
der er brug for et nyt opdateringsmodul som er frit tilgængeligt (open
source).

Har du et forslag til en anden løsning end MSHTML editoren?

>
>> Den anvender en formular med metoden POST for at sende den færdige
>> hjemmeside til et PHP script. Hvordan sikrer man sig mod hackere som vil
>> kunne sende html kode til mit script som ikke er fremstillet af MSHTML
>> editoren? Altså html kode som ikke er fremstillet under kontrolerede
>> forhold.
> Det kunne gøres ved hjælp af noget henvisningskontrol
> ($_SERVER['HTTP_REFERER'])
>
> > Jeg forventer det må være noget i retningen af at man sortere
> javascript og
>> <html> <head> ting fra som normalt ikke vil være med i html koden fra
>> MSHTML editoren. MSHTML editoren giver kun <body></body> delen af html
>> koden til mit script.
> Kig eventuelt på <url: http://dk.php.net/strip_tags>
>
>
> --
> Dan Storm - storm at err0r dot dk / http://err0r.dk
>
> Tro ikke brugerne vil gøre noget for at undgå dit killfilter
> - Så vigtig er du heller ikke!

Mvh.
Rune Christensen

---

On Mon, 19 Jun 2006 22:20:58 +0200, Rune Christensen wrote:

> Har du et forslag til en anden løsning end MSHTML editoren?
>
http://sourceforge.net/projects/xsdheditor/
Denne side lister et stort antal forskellige - om den er opdateret, ved
jeg ikke: http://geniisoft.com/showcase.nsf/WebEditors

--
Hilsen/Regards
Michael Rasmussen
http://keyserver.veridis.com:11371/pks/lookup?op=get&search=0xE3E80917

---

Michael Rasmussen wrote:
> On Mon, 19 Jun 2006 22:20:58 +0200, Rune Christensen wrote:
>
>
>>Har du et forslag til en anden løsning end MSHTML editoren?
>>
>
> http://sourceforge.net/projects/xsdheditor/

Citat:

As of 2004-09-28 10:12, this project is no longer under active development.

Mvh. Michael.
--
Which is more dangerous? TV guided missiles or TV guided families?
I am less likely to answer usenet postings by anonymous authors.
Visit my home page at http://michael.zedeler.dk/

---

"Dan Storm" <shadyz@_REMOVETHIS_err0r.dk> skrev i en meddelelse
news:44966b0a$0$74071$edfadb0f@dread14.news.tele.dk...
> Rune Christensen skrev:
>> Jeg er ved at fremstille et hjemmeside opdateringsmodul ved at bruge
>> MSHTML editoren i Internet Explorer.
> *suk*

Personen som jeg laver det til, bruger allerede denne løsning, men kan ikke
få opdateringsmodulet med i forbindelse med flytning til nyt webhotel. Så
der er brug for et nyt opdateringsmodul som er frit tilgængeligt (open
source).

Har du et forslag til en anden løsning end MSHTML editoren?

>
>> Den anvender en formular med metoden POST for at sende den færdige
>> hjemmeside til et PHP script. Hvordan sikrer man sig mod hackere som vil
>> kunne sende html kode til mit script som ikke er fremstillet af MSHTML
>> editoren? Altså html kode som ikke er fremstillet under kontrolerede
>> forhold.
> Det kunne gøres ved hjælp af noget henvisningskontrol
> ($_SERVER['HTTP_REFERER'])
>
> > Jeg forventer det må være noget i retningen af at man sortere
> javascript og
>> <html> <head> ting fra som normalt ikke vil være med i html koden fra
>> MSHTML editoren. MSHTML editoren giver kun <body></body> delen af html
>> koden til mit script.
> Kig eventuelt på <url: http://dk.php.net/strip_tags>
>
>
> --
> Dan Storm - storm at err0r dot dk / http://err0r.dk
>
> Tro ikke brugerne vil gøre noget for at undgå dit killfilter
> - Så vigtig er du heller ikke!

Mvh.
Rune Christensen

---

Rune Christensen wrote:
> Hej
>
> Jeg er ved at fremstille et hjemmeside opdateringsmodul ved at bruge MSHTML
> editoren i Internet Explorer.
>
> www.htmleditor.christ-os.dk
>
> Den anvender en formular med metoden POST for at sende den færdige
> hjemmeside til et PHP script. Hvordan sikrer man sig mod hackere som vil
> kunne sende html kode til mit script som ikke er fremstillet af MSHTML
> editoren? Altså html kode som ikke er fremstillet under kontrolerede
> forhold.

Der er ingen grund til at checke hvordan den færdige hjemmeside (altså
det dit script modtager) er konstrueret. Hvis du har problemer med at
den kan indeholde nogle grimme ting, må du skrive noget kode som
validerer input korrekt.

> Jeg forventer det må være noget i retningen af at man sortere javascript og
> <html> <head> ting fra som normalt ikke vil være med i html koden fra MSHTML
> editoren. MSHTML editoren giver kun <body></body> delen af html koden til
> mit script.

Du er nødt til at validre dit input. En metode kan være at skrive et
XML-skema som er en delm,ængde af xhtml 1.0 og så bruge en xml-parser
til at validere indholdet. Det burde bringe dig langt.

Mvh. Michael.
--
Which is more dangerous? TV guided missiles or TV guided families?
I am less likely to answer usenet postings by anonymous authors.
Visit my home page at http://michael.zedeler.dk/