Altro aiuto aimè: codice HTML nella scheda

Altro aiuto aimè: codice HTML nella scheda postato il 09/02/2011 11:27:57 nel forum programmazione, gdrcd e open source

Volevo inserire il codice html nella sezione background e affetti.
Io credo d'aver individuato la parte di codice php da modificare solo che non ricordo neppure con quale parola; Nelle versioni precedenti di GDRCD mi sembrava fosse questa: htmlspecialchars

qui non so proprio dove andare a guardare nonostante gli innumerevoli tentativi. Il codice che segue è preso dal file scheda.inc.php:
<div class="background">

<div class="titolo_box">
<?php print gdrcd_filter('out',$MESSAGE['interface']['sheet']['box_title']['background']); ?>
</div>

<div class="body_box">
<?php print gdrcd_bbcoder(gdrcd_filter('out',$record['descrizione'])); ?>
</div>

</div>

<div class="background">

<div class="titolo_box">
<?php print gdrcd_filter('out',$MESSAGE['interface']['sheet']['box_title']['relationships']); ?>
</div>

<div class="body_box">
<?php print gdrcd_bbcoder(gdrcd_filter('out',$record['affetti'])); ?>
</div>

</div>

Quest'altro invece è preso dalla pagina scheda_modifica.inc.php:

<div class='form_label'>
<?php print gdrcd_filter('out',$MESSAGE['interface']['sheet']['modify_form']['background']); ?>
</div>
<div class='form_field'>
<textarea type="textbox" name="modifica_background" class="form_textarea"><?php print $record['descrizione']; ?></textarea>
</div>
<div class="form_info">
<?php print gdrcd_filter('out',$MESSAGE['interface']['help']['bbcode']); ?>
</div>

<div class='form_label'>
<?php print gdrcd_filter('out',$MESSAGE['interface']['sheet']['modify_form']['relationships']); ?>
</div>
<div class='form_field'>
<textarea type="textbox" name="modifica_affetti" class="form_textarea"><?php print $record['affetti']; ?></textarea>
</div>
<div class="form_info">
<?php print gdrcd_filter('out',$MESSAGE['interface']['help']['bbcode']); ?>
</div>

Ringrazio anticipatamente per l'aiuto. ^^"

Entropia Universe ↗
Lascia che il tuo avatar esplori nuovi mondi e viaggi tra i pianeti in questo stupendo MmoRpg Sci-Fi Free to Play!

quota

Pagine → 1

blancks

SCRIVI

09/02/2011 11:47:15

Te ne rendi conto che così facendo metti a rischio malintenzionati il gdr e i dati potenzialmente sensibili degli utenti come le loro email e password (soprattutto se queste ultime non sono criptate) ?

Evita come la peste la possibilità di far introdurre html senza filtri nelle schede, è un consiglio.

NosTale ↗
Con l’aiuto della spada e della bacchetta magica risolverai abilmente intricate missioni e domerai coraggiosamente mostri selvaggi!

quota

malitia

SCRIVI

09/02/2011 14:17:03 e modificato da malitia il 09/02/2011 14:22:38

Ho capito.

Ad ogni modo, perchè se l'html è così pericoloso, tant'è che già una volta sono stata "fregata" da un malintenzionato, la maggior parte dei "creatori" di gdr lo implementano nelle schede? Immagino abbiano inserito un qualche filtro di protezione giusto?

Riguardo le password mi risulta dal file config che posso decidere se criptarle o meno e inoltre, riguardo l'uso di html nella scheda, ho già visto dove si trova ma nonostante sia settato per l'utilizzo comunque non funziona. Magari è stata invertita la spiegazione tra ON e OFF

Fervm ↗
È il tempo di vestire la toga virile, scalare le tappe che il mos maiorum ti impone! Stringi alleanze, ottieni consensi e il tuo nome sarà ricordato!

quota

blancks

SCRIVI

09/02/2011 15:03:34

malitia ha scritto: Ad ogni modo, perchè se l'html è così pericoloso, tant'è che già una volta sono stata "fregata" da un malintenzionato, la maggior parte dei "creatori" di gdr lo implementano nelle schede? Immagino abbiano inserito un qualche filtro di protezione giusto?

Forse alcuni hanno dei filtri per impedire l'esecuzione di script maligni, sicuramente un buon 80% delle land lo implementano per l'ignoranza dei gestori in materia e perché la scheda editata con l'html fa "più figo".

Il fatto è che è veramente raro trovare veri programmatori dietro un progetto, per questo cose assurde come l'html abilitato è pratica comune.

Ciò non toglie che rimane pericoloso, come hai potuto sperimentare sulla tua "pelle", quindi mi chiedo perchè volerlo abilitare ?

Dungeons & Dragons ↗
Neverwinter è il più grande mondo online su Dungeons & Dragons! Scegli il tuo eroe e combatti in un modo selvaggio!

quota

mr_faber

SCRIVI

09/02/2011 17:18:19

Le land che ammetteno html nelle schede sono semplicemente vulnerabili, a causa dell'inconsapevolezza dei gestori che optano per questa scelta. Certo e' possibile estromettere selettivamente solo alcuni tag, (per dire, <script>), ma temo che ben poco permetta di evitare l'inserimento di script direttamente in tag innoqoui.

Una delle ultime volte in cui mi iscrissi a una land, dalla mia scheda era possibile consultare le previsioni meteo e giocare a un certo numero di giochini flash. Curiosamente trovarono la cosa divertente.

Chiediti piuttosto, perche' i siti seri non ti permettono di editarti i profili direttamente con l'html, o se lo fanno, sono sommersi di controlli che non sei in grado (con tutto il rispetto) di attuare.

Posto questo, accomodati pure. Localizza il punto della pagina dove stampa il contenuto che ti interessa (avra' un aspetto tipo print gdrcd_filter('out',$row['qualcosa']);) e trasformalo in print $row['qualcosa'];

Homo Faber Fortunae Suae

quota

malitia

SCRIVI

10/02/2011 14:34:28

Figurati Faber, non mi offendo, sono piuttosto digiuna dei metodi di protezione d'una land o di un sito percui preferisco seguire il vostro consiglio utilizzando il bbcode, piuttosto che vedere un lavoro per il quale sto spendendo molto tempo, ridotto in cenere.

Dungeons & Dragons ↗
Neverwinter è il più grande mondo online su Dungeons & Dragons! Scegli il tuo eroe e combatti in un modo selvaggio!

quota

airon

SCRIVI

10/02/2011 23:13:05

staff_nb ha scritto: Una soluzione al tuo problema può essere l'utilizzo dell'abilitazione dell'html e poi, al modifica scheda, mettere il codice javascript nell'head della pagina di un editor html che scarichi gratuitamente da internet come il Tinymce che ti filtra automaticamente codici html poco graditi e ti lascia la possibilità di mettere testi e immagini in scheda dandoti anche un'anteprima sommaria di come vengono.

L'unica pecca è che non puoi aggiungerci musica, cosa risolvibile grazie al codice vero e proprio del gdrcd che implementa la possibilità di caricare il link di un file midi.

Spero di non aver detto cavolate xD

Javascript, agendo lato client, è la cosa più insicura che si possa usare per il filtro dei caratteri nocivi. Se ti disabilito lo script non hai più la protezione ed il sistema sarebbe altamente bucabile.

Ci sono due valide librerie php per lasciare intatto l'html (limitando anche i tag) e nel contempo filtrando il codice da XSS.

http://htmlpurifier.org/ la più sicura ma pesante
http://code.google.com/p/htmlawed/ leggera, rapida e molto sicura