{TEXT} og {INTTEXT}

BBkoder og hjælp til disse.
Besvar
Brugeravatar
jask
Hjemmeside Team Leder
Indlæg: 1185
Tilmeldt: 27. aug 2006 15:36
Geografisk sted: Odense
Kontakt:

{TEXT} og {INTTEXT}

Indlæg af jask » 23. aug 2010 21:46

I phpbb3.0.7 introduceredes tokenet {INTTEXT}, fordi anvendelsen af tokenet {TEXT} giver nogle sikkerhedsmæssige problemstillinger.

Her på boardet bruger vi selv {TEXT} i vores BBkode til at danne spoileren - den der kan vise og skjule indlejret tekst. Det ændrede jeg så, i den helt sikre overbevisning om at det måtte være rigtigt at gøre. Efterfølgende læste jeg en kort notits på http://www.phpbb3bbcodes.com/, at det kun er når tokenet anvendes i et html-tag at det er "farligt". Jeg har ikke rigtigt kunne finde yderligere om dette.
Nogen der kan be- eller afkræfte dette, for i spoilerkoden anvendes {TEXT} ikke i et html-tag.

Brugeravatar
Stoker
Indlæg: 95
Tilmeldt: 20. jun 2008 19:11
Kontakt:

Re: {TEXT} og {INTTEXT}

Indlæg af Stoker » 23. aug 2010 22:27

Det er helt korrekt at {TEXT} er en potentiel sikkerheds risiko. Men den behøver altså ikke være det og kan sagtens bruges hvis en enkelt regel overholdes.
Den må IKKE bruges inden i et html tag!

Her har vi et eksempel: <div style="{TEXT}">{TEXT}</div>
Gøn = OK
Rød = forbudt

Brugeravatar
jask
Hjemmeside Team Leder
Indlæg: 1185
Tilmeldt: 27. aug 2006 15:36
Geografisk sted: Odense
Kontakt:

Re: {TEXT} og {INTTEXT}

Indlæg af jask » 23. aug 2010 22:46

Tak for bekræftelsen, Stoker :D

Den ændring jeg foretog gav nemlig desværre nogle begrænsninger, jeg ikke lige havde gennemtænkt. {INTTEXT} godtager: Alle unicodetegn (incl. æ, ø og å), tal, mellemrum, komma, punktum, minus, plus, bindestreg, underscore og whitespaces. Og vi da anvender spoilerkoden i nogle indlæg hvor der er indlagt yderligere bbkoder, eksempelvis [attachment=1], altså hakparenteser og lighedstegn, blev de øjeblikkeligt ikke fortolket korrekt efter ændringen. Da jeg ændrede tilbage til {TEXT} igen, rettede det sig heldigvis.

reffub
Indlæg: 31
Tilmeldt: 9. apr 2010 00:47

Re: {TEXT} og {INTTEXT}

Indlæg af reffub » 18. dec 2011 10:10

bruger {tekst}
Kan i se om måden jeg gør det på udgør en sikkerhedsfare?
Vedhæftede filer
tekst.jpg

Brugeravatar
Stoker
Indlæg: 95
Tilmeldt: 20. jun 2008 19:11
Kontakt:

Re: {TEXT} og {INTTEXT}

Indlæg af Stoker » 18. dec 2011 12:07

Du må ikke bruge den på den måde reffub.
Det muliggør indsættelse af skadelig kode.

Brugeravatar
Jan
Anerkendt medstifter
Indlæg: 878
Tilmeldt: 23. aug 2006 19:01

Re: {TEXT} og {INTTEXT}

Indlæg af Jan » 18. dec 2011 19:34

Enig med Stoker, metoden du viser udgør en betydelig sikkerhedsrisiko.

Du kan i stedet gøre sådan her:

Brug af BBkode:

Kode: Vælg alt

[youtube]http://www.youtube.com/watch?v={IDENTIFIER}[/youtube]
HTML-erstatning:

Kode: Vælg alt

<object width="425" height="344"><param name="movie" value="http://www.youtube.com/v/{IDENTIFIER}&rel=en&fs=1&color1=0x234900&color2=0xd4d4d4"></param><param name="allowFullScreen" value="true"></param><param name="allowscriptaccess" value="always"></param><embed src="http://www.youtube.com/v/{IDENTIFIER}&rel=en&fs=1&color1=0x234900&color2=0xd4d4d4" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="425" height="344"></embed></object>
Hjælpelinie:

Kode: Vælg alt

YouTube: [youtube]Link til YouTube Video[/youtube]

reffub
Indlæg: 31
Tilmeldt: 9. apr 2010 00:47

Re: {TEXT} og {INTTEXT}

Indlæg af reffub » 23. dec 2011 12:05

Tak for det 8-)

Besvar