Website-Benutzer nicht die Möglichkeit geben HTML-Code einzufügen

[thehasso]

Hallo zusammen,


ich würde gerne wissen, wie es möglich ist,den User nicht die möglichkeit zu geben das dieser youtube code in ein Textfeld einfügt.
Also das einfügen kann er ruhig machen jedoch soll dieser code irgendwie durch hinzufuegen von klammern gesperrt werden sodass das video nicht mehr angezeigt wird.

Beispiel der Herr oder die Dame fügen ein:
<object width="425" height="344"><param name="movie" value="http://www.youtube.com/v/3nYsWnF1NN0&hl=de_DE&fs=1&"></param><param name="allowFullScreen" value="true"></param><param name="allowscriptaccess" value="always"></param><embed src="http://www.youtube.com/v/3nYsWnF1NN0&hl=de_DE&fs=1&" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="425" height="344"></embed></object>


dann sollen irgendwo mitten drin SLASH eingefügt werden oda irgendwas passieren dass der CODE Nicht verarbeitert wird.


Was würd so gängig gemacht? damit das verhindert wird?


DANKE

 

[Parantatatam]

Wandel einfach die Größer- und Kleineralszeichen in ihren entsprechenden HTML-Code um:

> = >
&lt; = <

 

[peterminden]

Probier mal

strip_tags();

oder

htmlspecialchars()

 

[thehasso]

Erste fünf Zeichenketten überprüfen

Hallo,


ich würde gerne wissen, wie man überprüft ob der User ein Youtube Video einbindet oder irgend ein anderen Misst.
Also User können halt die Videos bei mir einfügen dazu fügen die den Code ein der von Youtube vordefiniert ist:

<object width="425" height="344"><param name="movie" value="http://www.youtube.com/v/z9ycuN68ZGs&hl=de_DE&fs=1&rel=0&color1=0x3a3a3a&color2=0x999999"></param><param name="allowFullScreen" value="true"></param><param name="allowscriptaccess" value="always"></param><embed src="http://www.youtube.com/v/z9ycuN68ZGs&hl=de_DE&fs=1&rel=0&color1=0x3a3a3a&color2=0x999999" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="425" height="344"></embed></object>


Nun hab ich mir gedacht, wenn der Code mit <object beginnt, müsste es höchste wahrscheinlichkeit ein Youtube Video sein.

$youtubecode = $_POST["code"];


Die Variable $youtubecode beeinhaltet also dann den großen eingebundenen Code.

und nun würd ich gern mit einer Funktion die ersten 5 zeichehn auf <object überprüfen. Sind diese Identisch, dann erfolgt der Insert ansonsten, wird ausgebeben Falsches Format.


Danke für jeden Beitrag.

 

[CPoly]

Nun hab ich mir gedacht, wenn der Code mit <object beginnt, müsste es höchste wahrscheinlichkeit ein Youtube Video sein.

Ich behaupte mal das ist falsch, wenn nicht sogar völliger Blödsinn.

Fremden Leuten (Webseiten Besuchern) zu erlauben, HTML in deine Seite einzufügen, solltest du tunlichst vermeiden. Das kann böse enden. Stattdessen sollten deine Nutzer einfach den Link einfügen "http://www.youtube.com/v/z9ycuN68ZGs" und du erstellst daraus dann den embed-code selbst. Da du aber scheinbar an einer simplen string-Operation scheiterst, solltest du erstmal PHP lernen, bevor du deine Webseite auf Leute loslässt.

Und wenn du mit meinem Beitrag nichts anfangen kannst und unbedingt die ersten Zeichen überprüfen willst:

if (strpos($youtubecode, "<object") === 0)
    echo "Korrekt!";
else
    echo "Falsch!";

 

[Maik]

Nun hab ich mir gedacht, wenn der Code mit <object beginnt, müsste es höchste wahrscheinlichkeit ein Youtube Video sein.

Müsste. Höchstwahrscheinlich. Ist ja wie bei der samstäglichen Ziehung der Lottozahlen: "Und wie immer, alle Angaben ohne Gewähr!"

Und was, wenn nach dieser Zeichenkette überhaupt nicht der von dir angenommene / vermutete Quellcode für ein Youtube-Video folgt, sondern der User deinen Server / Webspace mit seinem schadhaften Code beglückt?

Dann wünsche ich dir "Prost Mahlzeit" morgens um Viere.

mfg Maik

 

[thehasso]

okay, ich glaub hab das ganze noch nicht so sehr bedacht gehabt.

Wie sperre ich dann das User html code einfügen. Bis jetzt hab ich immer nur folgendes Bedacht: mysql_real_escape_string( )

 

[Parantatatam]

Ich kann zu dieser Frage nur wieder das antworten, was ich schon einmal sagte:

Wandel einfach die Größer- und Kleineralszeichen in ihren entsprechenden HTML-Code um:

> = >
&lt; = <

Damit bewirkst du, dass der HTML-Code als Quelltext dargestellt wird.

 

[thehasso]

thx you, wenn du mir noch sagen könntest wie man diese umwandlung machen könnte, das wär super.


Danke im voraus!

 

[chmee]

Schau Dir str_replace an.

mfg chmee