Hehe. Dann hat es wohl doch nicht gereicht die Funktion zu verstecken :rolleyes: :D :D :D

So, habe nun alles in mein Testforum integriert. Hab einen (mehr oder weniger guten) installer geschrieben und alles in ein neues Testforum installiert. Hat soweit gefunzt. Vielleicht könnte sich das dort nochmal jemand anschauen: [URL="http://ndrtest1.nd.funpic.de/001/forum/index.php?"]Hier[/URL]

sieht gut aus. das kannste ja nochmal chris vorsetzten evtl schafft der da ja was...

[quote="pip"]sieht gut aus. das kannste ja nochmal chris vorsetzten evtl schafft der da ja was...[/quote] Habs schon im Supportforum gepostet ;)

Hab, nun anscheinend geschafft den HTML Purifier ins Forum einzubauen (danke an Chris!!!). Wenn man versucht einen schädlichen Code einzugeben (z.B. von dieser Seite: http://htmlpurifier.org/live/smoketests/xssAttacks.php ) wird er unschädlich gemacht. Wenn man nun den Editor einbaut, dann gibt es bei einigen Codes eine SQL-Fehlermeldung. Meiner Meinung nach ist das aber nicht weiter schlimm. Der Angriff wird ja abgewehrt. Allerdings kann ich nicht testen ob man da wieder doch noch durch ein Hintertürchen durchkommen könnte :rolleyes: Ich denke zwar nicht, da der HTML Purifier vor dem Speichern geschaltet ist, und auch ohne den Editor funzt und Angriffe abwehrt. Aber man kann ja nie wissen :rolleyes:

[quote="siebi"]Wenn man nun den Editor einbaut, dann gibt es bei einigen Codes eine SQL-Fehlermeldung. Meiner Meinung nach ist das aber nicht weiter schlimm. Der Angriff wird ja abgewehrt.[/quote] Wenn du bei einigen Zeichen SQL-Fehler bekommst, dann bedeutet das, das die Abfrage momentan nicht sicher vor SQL-Injections ist! Also sehr schlimm!

So, nun habe ich den SQL-Fehler wegbekommen. Es lag an folgender Zeile: [PHP]$_POST['message'] = gpc_addslashes($purifier->purify(gpc_stripslashes($_POST['message'])));[/PHP] So funzt es: [PHP]$_POST['message'] = $purifier->purify($_POST['message']);[/PHP]

Könntest du mal eine Einbauanleitung, so wie du es jetzt realisiert hast, posten?

[quote="spike_putin"]Könntest du mal eine Einbauanleitung, so wie du es jetzt realisiert hast, posten? [/quote] Öffne: newpost.php; newtopic.php; editpost.php Suche: [PHP] require($_cfg['MAIN'].'/lib/search.inc.php');[/PHP] Danach: [PHP]###HTML Purifier Anfang require_once ($_cfg['MAIN'].'/htmlpurifier/library/HTMLPurifier.auto.php'); $config = HTMLPurifier_Config::createDefault(); $config->set('Core', 'Encoding', 'windows-1252'); // replace with your encoding $purifier = new HTMLPurifier($config); $_POST['message'] = $purifier->purify($_POST['message']); ###HTML Purifier ENDE[/PHP] -------------------- Öffne: private.php Suche: [PHP] ### Speichern } else {[/PHP] Danach: [PHP]###HTML Purifier Anfang require_once ($_cfg['MAIN'].'/htmlpurifier/library/HTMLPurifier.auto.php'); $config = HTMLPurifier_Config::createDefault(); $config->set('Core', 'Encoding', 'windows-1252'); // replace with your encoding $purifier = new HTMLPurifier($config); $_POST['message'] = $purifier->purify($_POST['message']); ###HTML Purifier ENDE[/PHP] ------------------- Öffne: calendar.php Suche: [PHP]### Speichern (hinzufügen) } elseif (!empty($_POST['subject']) && !empty($_POST['message']) && empty($_POST['id'])) { access('calendar_new');[/PHP] Danach: [PHP]###HTML Purifier Anfang require_once ($_cfg['MAIN'].'/htmlpurifier/library/HTMLPurifier.auto.php'); $config = HTMLPurifier_Config::createDefault(); $config->set('Core', 'Encoding', 'windows-1252'); // replace with your encoding $purifier = new HTMLPurifier($config); $_POST['message'] = $purifier->purify($_POST['message']); ###HTML Purifier ENDE[/PHP] Suche: [PHP]### Speichern (bearbeiten) } elseif (!empty($_POST['subject']) && !empty($_POST['message']) && !empty($_POST['id']) && is_numeric($_POST['id'])) { access('calendar_edit');[/PHP] Danach: [PHP]###HTML Purifier Anfang require_once ($_cfg['MAIN'].'/htmlpurifier/library/HTMLPurifier.auto.php'); $config = HTMLPurifier_Config::createDefault(); $config->set('Core', 'Encoding', 'windows-1252'); // replace with your encoding $purifier = new HTMLPurifier($config); $_POST['message'] = $purifier->purify($_POST['message']); ###HTML Purifier ENDE[/PHP] Dann sollte der HTML Purifier funzen, auch wenn der Editor nicht eingebaut ist. Er filtert also schädlichen Code bevor er in die Datenbank gespeichert wird.

Super, danke :) Du hattest aber doch auch noch die Möglichkeit geschaffen, dass man im Profil die Möglichkieit hat einen Editor auszuwählen? Könntest du die Anpassung dort auch posten?

[quote="spike_putin"]Super, danke :) Du hattest aber doch auch noch die Möglichkeit geschaffen, dass man im Profil die Möglichkieit hat einen Editor auszuwählen? Könntest du die Anpassung dort auch posten? [/quote] Das sind mehrere Anpassungen. Hab eine Installier-Anleitung geschrieben (aus einem installer von Bug Hunter). Wollte die evtl. auch unter "Downloads" anbieten. Zum testen schicke ich sie dir erstmal per PN, OK?!

Erst einmal vielen Dank ... habe jetzt den Einbau mal probeweise in einem Testforum vorgenommen. Sieht sehr gut aus :) Die Rechtschreibprüfung wird leider nicht mehr angezeigt ... muss wohl mit Version 3 von TineMCE zusammen hängen, denn bei Version 2.x klappt es mit der Anweisung. Mal sehen ... Bin noch auf der Suche nach einem Ersatz für das sog. media Plugin, d.h. eine YouTube und Google Video etc Integration, weil das doch bei mir verstärkt genutzt wird. Jetzt bleibt nur noch die spannende Frage, ob es nunmehr auch sicher ist. [B]Vielleicht bist du, Chris, so nett bei siebi noch einmal einen XSS Angriff zu starten bzw. eine sql Injection. [/B] Ach ja, vielleicht wäre auch auch nicht schlecht, wenn die smilie Liste (zusätzlich) noch zur Verfügung steht.

[quote="spike_putin"]Erst einmal vielen Dank ... habe jetzt den Einbau mal probeweise in einem Testforum vorgenommen. Sieht sehr gut aus :) Die Rechtschreibprüfung wird leider nicht mehr angezeigt ... muss wohl mit Version 3 von TineMCE zusammen hängen, denn bei Version 2.x klappt es mit der Anweisung. Mal sehen ... Bin noch auf der Suche nach einem Ersatz für das sog. media Plugin, d.h. eine YouTube und Google Video etc Integration, weil das doch bei mir verstärkt genutzt wird. Jetzt bleibt nur noch die spannende Frage, ob es nunmehr auch sicher ist. [B]Vielleicht bist du, Chris, so nett bei siebi noch einmal einen XSS Angriff zu starten bzw. eine sql Injection. [/B] Ach ja, vielleicht wäre auch auch nicht schlecht, wenn die smilie Liste (zusätzlich) noch zur Verfügung steht. [/quote] Die Version 3 hab ich noch nicht getestet. Ist ja auch erst seit ein paar Tagen draußen. Die Smilie-Liste kann man natürlich einblenden, aber die funzt bei dem Editor nicht (genauso wie die BB-Code Leiste). Aber man kann die Smilie-Liste vom Editor ja anpassen ;) Wenn der Editor ausgeschaltet ist funktionieren natürlich auch wieder die Silie- und BB-Codeleiste ;)

[quote="spike_putin"][B]Vielleicht bist du, Chris, so nett bei siebi noch einmal einen XSS Angriff zu starten bzw. eine sql Injection. [/B][/quote]In welchem Forum kann man das denn testen?

[quote="Chris"]In welchem Forum kann man das denn testen?[/quote] Hier: http://ndrtest1.nd.funpic.de/001/forum/index.php?

Sieht nun besser aus... also ich konnte kein XSS einschleusen.

[quote="Chris"]Sieht nun besser aus... also ich konnte kein XSS einschleusen.[/quote] Das freut mich sehr zu lesen :) :) [B]Danke dir nochmal für deine Hilfe und das testen!!![/B] :yes: :yes:

Bin noch auf ein mehr oder weniger keines Problem gestoßen :rolleyes: BBCodes, wo es [CODE]"[/CODE] gibt werden nicht umgesetzt, weil die durch den HTML Purifier zu [CODE]"[/CODE] geändert werden. Weiß vielleicht jemand ob und wenn wo und wie man bestimmte Zeichen bzw. Codes erlauben kann?

[quote="siebi"]Bin noch auf ein mehr oder weniger keines Problem gestoßen :rolleyes: BBCodes, wo es [CODE]"[/CODE] gibt werden nicht umgesetzt, weil die durch den HTML Purifier zu [CODE]"[/CODE] geändert werden. Weiß vielleicht jemand ob und wenn wo und wie man bestimmte Zeichen bzw. Codes erlauben kann?[/quote] So, nun habe ich auch dieses Problem gelöst. Also läuft es jetzt stabil und ohne Fehler. Zumindest in meinem Forum ;) Wenn ich diese Tage mal Zeit habe, werde ich mal den Installer anpassen und online setzen wenns jemanden interessiert ;)

super! wenn ich diesen thread richtig verfolgt habe, dann gibt es einige interessenten :D