Altro aiuto aimè: codice HTML nella scheda

Altro aiuto aimè: codice HTML nella scheda postato il 09/02/2011 11:27:57 nel forum programmazione, gdrcd, open source, hosting

Volevo inserire il codice html nella sezione background e affetti.
Io credo d'aver individuato la parte di codice php da modificare solo che non ricordo neppure con quale parola; Nelle versioni precedenti di GDRCD mi sembrava fosse questa: htmlspecialchars

qui non so proprio dove andare a guardare nonostante gli innumerevoli tentativi. Il codice che segue è preso dal file scheda.inc.php:
<div class="background">

<div class="titolo_box">
<?php print gdrcd_filter('out',$MESSAGE['interface']['sheet']['box_title']['background']); ?>
</div>

<div class="body_box">
<?php print gdrcd_bbcoder(gdrcd_filter('out',$record['descrizione'])); ?>
</div>

</div>

<div class="background">

<div class="titolo_box">
<?php print gdrcd_filter('out',$MESSAGE['interface']['sheet']['box_title']['relationships']); ?>
</div>

<div class="body_box">
<?php print gdrcd_bbcoder(gdrcd_filter('out',$record['affetti'])); ?>
</div>

</div>

Quest'altro invece è preso dalla pagina scheda_modifica.inc.php:

<div class='form_label'>
<?php print gdrcd_filter('out',$MESSAGE['interface']['sheet']['modify_form']['background']); ?>
</div>
<div class='form_field'>
<textarea type="textbox" name="modifica_background" class="form_textarea"><?php print $record['descrizione']; ?></textarea>
</div>
<div class="form_info">
<?php print gdrcd_filter('out',$MESSAGE['interface']['help']['bbcode']); ?>
</div>

<div class='form_label'>
<?php print gdrcd_filter('out',$MESSAGE['interface']['sheet']['modify_form']['relationships']); ?>
</div>
<div class='form_field'>
<textarea type="textbox" name="modifica_affetti" class="form_textarea"><?php print $record['affetti']; ?></textarea>
</div>
<div class="form_info">
<?php print gdrcd_filter('out',$MESSAGE['interface']['help']['bbcode']); ?>
</div>

Ringrazio anticipatamente per l'aiuto. ^^"

World of Tanks ↗
Lanciati in epiche battaglie spalla a spalla con altri giocatori. Conquista la supremazia nel mondo dei Carri Armati!

quota

Pagine → 1

blancks

SCRIVI

09/02/2011 11:47:15

Te ne rendi conto che così facendo metti a rischio malintenzionati il gdr e i dati potenzialmente sensibili degli utenti come le loro email e password (soprattutto se queste ultime non sono criptate) ?

Evita come la peste la possibilità di far introdurre html senza filtri nelle schede, è un consiglio.

GitHub: https://github.com/GDRCD/GDRCD ↗
Discord: https://discord.gg/zh69CDUf3V ↗

quota

malitia

SCRIVI

09/02/2011 14:17:03 e modificato da malitia il 09/02/2011 14:22:38

Ho capito.

Ad ogni modo, perchè se l'html è così pericoloso, tant'è che già una volta sono stata "fregata" da un malintenzionato, la maggior parte dei "creatori" di gdr lo implementano nelle schede? Immagino abbiano inserito un qualche filtro di protezione giusto?

Riguardo le password mi risulta dal file config che posso decidere se criptarle o meno e inoltre, riguardo l'uso di html nella scheda, ho già visto dove si trova ma nonostante sia settato per l'utilizzo comunque non funziona. Magari è stata invertita la spiegazione tra ON e OFF

Enlisted ↗
Guida la tua squadra di soldati in combattimenti su larga scala, con fanteria, veicoli corazzati e aerei della IIa Guerra Mondiale!

quota

blancks

SCRIVI

09/02/2011 15:03:34

malitia ha scritto: Ad ogni modo, perchè se l'html è così pericoloso, tant'è che già una volta sono stata "fregata" da un malintenzionato, la maggior parte dei "creatori" di gdr lo implementano nelle schede? Immagino abbiano inserito un qualche filtro di protezione giusto?

Forse alcuni hanno dei filtri per impedire l'esecuzione di script maligni, sicuramente un buon 80% delle land lo implementano per l'ignoranza dei gestori in materia e perché la scheda editata con l'html fa "più figo".

Il fatto è che è veramente raro trovare veri programmatori dietro un progetto, per questo cose assurde come l'html abilitato è pratica comune.

Ciò non toglie che rimane pericoloso, come hai potuto sperimentare sulla tua "pelle", quindi mi chiedo perchè volerlo abilitare ?

GitHub: https://github.com/GDRCD/GDRCD ↗
Discord: https://discord.gg/zh69CDUf3V ↗

quota

malitia

SCRIVI

10/02/2011 14:34:28

Figurati Faber, non mi offendo, sono piuttosto digiuna dei metodi di protezione d'una land o di un sito percui preferisco seguire il vostro consiglio utilizzando il bbcode, piuttosto che vedere un lavoro per il quale sto spendendo molto tempo, ridotto in cenere.

RAID Shadow Legends ↗
Plasma i tuoi eroi fino a farli diventare vere e proprie armi viventi e assembla i più epici gruppi d'assalto mai visti finora!

quota

airon

SCRIVI

10/02/2011 23:13:05

staff_nb ha scritto: Una soluzione al tuo problema può essere l'utilizzo dell'abilitazione dell'html e poi, al modifica scheda, mettere il codice javascript nell'head della pagina di un editor html che scarichi gratuitamente da internet come il Tinymce che ti filtra automaticamente codici html poco graditi e ti lascia la possibilità di mettere testi e immagini in scheda dandoti anche un'anteprima sommaria di come vengono.

L'unica pecca è che non puoi aggiungerci musica, cosa risolvibile grazie al codice vero e proprio del gdrcd che implementa la possibilità di caricare il link di un file midi.

Spero di non aver detto cavolate xD

Javascript, agendo lato client, è la cosa più insicura che si possa usare per il filtro dei caratteri nocivi. Se ti disabilito lo script non hai più la protezione ed il sistema sarebbe altamente bucabile.

Ci sono due valide librerie php per lasciare intatto l'html (limitando anche i tag) e nel contempo filtrando il codice da XSS.

http://htmlpurifier.org/ la più sicura ma pesante
http://code.google.com/p/htmlawed/ leggera, rapida e molto sicura