wvs-xss-magic-string aussperren

[benurb]

Hallo
Ich habe folgendes Problem. In meinem selbst geschriebenen Shoutbox Script bekomme ich immer wieder Einträge mit dem Inhalt:
<script>alert('wvs-xss-magic-string-1941824594');</script>

Diese öffnen folglich eine Java-Script Warnung und die ist zeimlich nervig wenn man sie 10 mal wegklicken darf bevor man auf die Seite kommt.
Meine 1. Frage:
Was ist das überhaupt für ein Ding?

2. Frage:
Wie werde ich es los? Ich könnte ja die Eingabe mit PHP auf WVS-XSS-Magic überprüfen, aber gibt es da keine
elegantere Lösung, wie zum Beispiel die IP-Range (die es ja vielleicht gibt) über PHP auszusperren?

Danke im Voraus

 

[Gumbo]

Du solltest HTML allgemein oder zumindest einige Tags entfernen oder entschärfen. Dies kannst du mit der strip_tags()- beziehungsweise htmlspecialchars()-Funktion erreichen.
Das unerlaubte Einfügen von Daten wird übrigens als Cross-Site Scripting bezeichnet.

 

[benurb]

Stimmt wäre ne Möglichkeit, danke
Aber dann hab ich immer noch das Problem, dass sinnlose Einträge gepostet werden, die halt dann nur den Text alert('wvs-xss-magic-string-1941824594'); enthalten, oder?

 

[Flex]

Du könntest per preg_match() und regulären Ausdrücken prüfen, ob der Text HTML, JavaScript und sonstige Tags enthält und wenn ja, diese droppen bzw. den Beitrag als ungültig erklären lassen.