sorgalla.com

PHP, Zend Framework, Datenbanken und was sonst noch so anfällt.

Archive for the ‘XSS’ tag

HTMLPurifier mit dem Zend Framework nutzen, Teil 2

without comments

Im ersten Teil haben wir uns mit der Installation und Integration von HTMLPurifier als Filter für Eingaben beschäftigt. Diesmal geht es um darum Ausgaben entsprechend zu filtern, getreu dem Motto “Filter input, Escape output”. Read the rest of this entry »

Post to Twitter Post to Delicious Post to Digg Post to Facebook Post to Reddit

Written by jan

Dezember 12th, 2009 at 8:33 pm

HTMLPurifier mit dem Zend Framework nutzen

with one comment

Pádraic Brady hat in seinem Blog über Zend_Filter_StripTags und seine mögliche missbräuchliche Verwendung als XSS-Filter geschrieben und damit einiges an Aufsehen erregt. Ich selbst bin zufällig kürzlich über die Klasse gestolpert. Ohne sie groß zu testen war mir der Code aber relativ suspekt und ich habe sie nicht verwendet.

Stattdessen nutze ich wie bisher HTMLPurifier (wird übrigens auch von Pádraic in seinem Artikel empfohlen).

HTML Purifier is a standards-compliant HTML filter library written in PHP. HTML Purifier will not only remove all malicious code (better known as XSS) with a thoroughly audited, secure yet permissive whitelist, it will also make sure your documents are standards compliant, something only achievable with a comprehensive knowledge of W3C’s specifications. Tired of using BBCode due to the current landscape of deficient or insecure HTML filters? Have a WYSIWYG editor but never been able to use it? Looking for high-quality, standards-compliant, open-source components for that application you’re building? HTML Purifier is for you!

Glücklicherweise lässt sich HTMLPurifier sehr leicht in das Zend Framework integrieren.
Read the rest of this entry »

Post to Twitter Post to Delicious Post to Digg Post to Facebook Post to Reddit

Written by jan

Dezember 9th, 2009 at 3:50 pm

Posted in Zend Framework

Tagged with , , ,