simples soziales Netzwerk - goshb

  • Mit "echten" HTML-Tags kann man aber fast alles anstellen -> ganz böße. Nimmt htmlspecialchars/htmlentities, das konvertiert z.B. < zu < was der Browser dann wieder als < anzeigt ohne Code (wie Javascript, Flash, designzerstörendes etc.) auszuführen. Alles andere ist grob fahrlässig. Für Formatierung schau mal in Richtung BBCode.

    hatte sowas ähnliches vor. danke dennoch :D

  • Jules,


    interessant was so die letzten Stunden gelaufen ist und wie Deine Reaktionen waren.


    Nun mal Spaß bei Seite und ein Beitrag ohne Smileys:


    Du musst bei der ganzen Geschichte eines Bedenken: Du bist als Betreiber der Plattform für die Daten Deiner User verantwortlich. Und in den letzten Stunden wurdest Du auf den einen oder anderen Stolperstein hingewiesen. Alles allerdings Basics.


    Einbettung von HTML Code
    Es darf unter keinen Umständen möglich sein, dass User beliebigen HTML Code in Deine Plattform einbetten können. Ansonsten ist es nur eine Frage der Zeit bis deine Plattform Malware verteilt die sich dann Deine Besucher einfangen. Im schlimmsten Fall fangen Die sich Locky ein und das am besten noch in einem Firmen Netzwerk.


    Schaden im 6-stelligen Euro Bereich.


    SQL Injection
    Gibts schon Libs für die das für Dich machen:


    4. Data Retrieval And Manipulation — Doctrine DBAL 2 documentation
    PHP: Prepared Statements - Manual
    PHP: PDO::prepare - Manual


    mysql_query IST VERALTET und sollte NICHT MEHR BENUTZT WERDEN!


    Porn
    Auch hier wäre ich vorsichtig. Neben Kinderpornos, die ja (logischerweise) verboten und strafbar sind, gibt es auch sowas wie das Jugendschutzgesetz. Da musst Du dich absichern, ansonsten kassierst Du auch hier rechtliche Schläge. Ich würde die einfach nicht zulassen / löschen.


    Kein Impressum
    Ist Pflicht in Deutschland.


    "Ich lerne ja noch"
    Kannst Du. Aber nicht in der wilden Laufbahn sondern lokal. Du kannst froh sein das Dich noch kein Malwareverschicker gefunden hat und Du dir noch keine Abuse / Abmahnung eingefangen hast.


    Selber machen ist nicht immer gut
    Habe so das Gefühl, dass Du mehr oder minder alles selbst scriptest. Mag fürs "lernen" toll sein, im "echten" Leben aber unpraktikabel. Alle gängigen Frameworks und Template Engines kümmern sich da selbstständig drum, dass zB HTML von Users ordentlich maskiert werden.


    Mein Liebling: Homepage - Twig - The flexible, fast, and secure PHP template engine

  • Vielen Dank für die vielen Tipps. Ich werde es mir aufjedenfall zu Herzen nehmen. Hätte ehrlich gesagt nicht gedacht, dass es auf so viel Aufmerksamkeit stößt. Und ja du liegst richtig mit deiner Annahme: ich scripte alles selbst. Die Seite ist erstmal nichtmehr zugänglich und ich werde sie wieder zugänglich machen ,wenn sie einigermaßen fertig ist :)
    Euch allen vielen Dank für eure Hilfe. Konnte aufjedenfall einiges neues mit nehmen. Ich beschäftige mich mit den ganzen übrigens erst seit 5 Monaten ;)