[smarty] Modifier betrifft alle Variablen die ausgegeben werden

freezer · 01.03.2006, 16:54

Hi!

Gibt es in smarty die Möglichkeit alle Variablen die ausgegeben werden, immer durch einen Modifier laufen zu lassen?

Der Grund ist der folgende:

Ich speicher alle Eingaben des Users ungefiltert (propel/ creole übernehmen SQL Injections) in der Datenbank. Hierdurch bin ich sehr flexibel in der Weiterverarbeitung der Daten.
Bei der Ausgabe muss ich aber nun natürlich darauf achten, dass html und js nicht ausgegeben werden um XSS zu verweden. Dies könnte ich über einen Modifier machen, den ich an jede Variable dranhänge. Eventuell könnte ich dies aber vergessen bzw. mir ist es zu umständlich.
Ein POST/ PRE Filter kommt nicht in Frage, da ich meinen BB-Code vorher übersetze und dieser optional ist und somit auch nicht durch einen POST/ PRE gejagt werden kann.

Danke, MfG freezer

EDIT:
Ok, ich achte drauf

Ben · 01.03.2006, 16:55

Der Thread wurde verschoben, wegen ...
... Postings im falschen Forum. Bitte beim nächsten Mal darauf achten.

verschoben

Lars · 01.03.2006, 16:58

Warum nicht einfach htmlentities()?

freezer · 01.03.2006, 17:00

Das ist nicht das eigentliche Problem.

Ich möchte den modifier einfach auf alle Ausgabe-Variablen ansetzen.

01.03.2006, 17:26

Hmm, ne sofern ich informiert bin (verwende smarty kaum) gibt es das nicht.
Du könntest dir aber ein Array anlegen zB $html = array (); Dieses Array enthält nur mit zB htmlentities () bearbeitete Daten. Im Template werden auch nur Werte aus dem Array $html verwendet. Somit kannst du nix übersehen. So habe ich es gemacht, funzt prima.

MfG Fat Tony

freezer · 01.03.2006, 17:33

Ja, die Idee ist nicht schlecht, aber dann müsste ich sehr viel um schreiben, da ich eigentlich immer direkt auf die Datenobjekte in den Templates zugreife.

Darum wäre ein Modifier nicht schlecht, der soetwas kann

01.03.2006, 18:04

http://smarty.php.net/manual/en/plug...putfilters.php
http://smarty.php.net/manual/en/plugins.modifiers.php
Hab' mal in der Doku nachgesehen. Das könnte interessant für dich sein.

freezer · 01.03.2006, 18:24

Also ein modifier funktioniert nicht. Ein Outputfilter könnte auch problematisch sein (nach der Beschreibung) da auch mein schon generierter html code aus den bb-codes gefiltert werden könnte.
Ich werde es nachher mal testen.

Danke!

01.03.2006, 16:54	Nach oben #1
freezer Benutzer Registriert seit: 27.02.2006 Beiträge: 38	[smarty] Modifier betrifft alle Variablen die ausgegeben werden Hi! Gibt es in smarty die Möglichkeit alle Variablen die ausgegeben werden, immer durch einen Modifier laufen zu lassen? Der Grund ist der folgende: Ich speicher alle Eingaben des Users ungefiltert (propel/ creole übernehmen SQL Injections) in der Datenbank. Hierdurch bin ich sehr flexibel in der Weiterverarbeitung der Daten. Bei der Ausgabe muss ich aber nun natürlich darauf achten, dass html und js nicht ausgegeben werden um XSS zu verweden. Dies könnte ich über einen Modifier machen, den ich an jede Variable dranhänge. Eventuell könnte ich dies aber vergessen bzw. mir ist es zu umständlich. Ein POST/ PRE Filter kommt nicht in Frage, da ich meinen BB-Code vorher übersetze und dieser optional ist und somit auch nicht durch einen POST/ PRE gejagt werden kann. Danke, MfG freezer EDIT: Ok, ich achte drauf Geändert von freezer (01.03.2006 um 16:59 Uhr).

01.03.2006, 16:55	Nach oben #2
Ben Erfahrener Benutzer Registriert seit: 02.12.2004 Ort: Remagen Beiträge: 4.619	Der Thread wurde verschoben, wegen ... ... Postings im falschen Forum. Bitte beim nächsten Mal darauf achten. verschoben __________________ Mehr TuS Koblenz geht nicht ... Aktuell ... - Neue Gegner für die TuS: 1.FC Nürnberg - 5 neue Gegner 2008/09 - Informationsveranstaltung für Mitglieder - Förderkasse füllt sich - B-Jugend Rheinlandpokalfinale terminiert - A-Jugend I gewinnt Rheinlandpokal

01.03.2006, 18:04	Nach oben #7
Jay Gast Beiträge: n/a	http://smarty.php.net/manual/en/plug...putfilters.php http://smarty.php.net/manual/en/plugins.modifiers.php Hab' mal in der Doku nachgesehen. Das könnte interessant für dich sein. Geändert von Jay (01.03.2006 um 18:07 Uhr).

01.03.2006, 16:58	Nach oben #3
Lars me pro ok? Registriert seit: 07.09.2005 Ort: Pulheim bei Köln Beiträge: 964	Warum nicht einfach htmlentities()?

01.03.2006, 17:00	Nach oben #4
freezer Benutzer Registriert seit: 27.02.2006 Beiträge: 38	Das ist nicht das eigentliche Problem. Ich möchte den modifier einfach auf alle Ausgabe-Variablen ansetzen.

01.03.2006, 17:26	Nach oben #5
Jay Gast Beiträge: n/a	Hmm, ne sofern ich informiert bin (verwende smarty kaum) gibt es das nicht. Du könntest dir aber ein Array anlegen zB $html = array (); Dieses Array enthält nur mit zB htmlentities () bearbeitete Daten. Im Template werden auch nur Werte aus dem Array $html verwendet. Somit kannst du nix übersehen. So habe ich es gemacht, funzt prima. MfG Fat Tony

01.03.2006, 17:33	Nach oben #6
freezer Benutzer Registriert seit: 27.02.2006 Beiträge: 38	Ja, die Idee ist nicht schlecht, aber dann müsste ich sehr viel um schreiben, da ich eigentlich immer direkt auf die Datenobjekte in den Templates zugreife. Darum wäre ein Modifier nicht schlecht, der soetwas kann

01.03.2006, 18:24	Nach oben #8
freezer Benutzer Registriert seit: 27.02.2006 Beiträge: 38	Also ein modifier funktioniert nicht. Ein Outputfilter könnte auch problematisch sein (nach der Beschreibung) da auch mein schon generierter html code aus den bb-codes gefiltert werden könnte. Ich werde es nachher mal testen. Danke!

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Themen-Optionen
Druckbare Version zeigen Diese Seite per E-Mail verschicken