XML Problem

webcoolcity

Hallo leute stehe gerade vor ein riesen Problem !

schreibe gerade einen chat und alle einträge macht ein PHP script,
erst wollte ich den chat direkt mit Ajax auf die XML Datei zugreifen lassen aber weil ich vor der ausgabe bestimmte header senden muss wegen Catch Control usw. gebe ich die XML Datei mit PHP aus ohne iregend was zu rendern das script senden nur die benötigten header !

leider mußte ich dann festellen, das wenn jemand ein html element in den chat eingibt die ich natürlich vor dem speichern in die xml datei escape werden die element wohl wegen Ajax trotzdem auf dem display angezeigt, obwohl die vor dem eintragen escaped wurden, jetzt weiß ich nicht wie ich diesen groben Fehler beseitigen soll ?

ich brauch dabei unbedingt Hilfe !

das escapen usw. macht meine PHP Klasse automatischen sobald eine Kind Klasse abgerufen wird !

hier:

PHP

final private function _Input_($input)
    {$ereg = FALSE;
        foreach($input as $this->key => $this->value) {
            if(is_array($this->value)) {
                self::_Input_($this->value);
            }else{
                if(get_magic_quotes_gpc()){
                    $this->request[$this->key] = stripslashes($this->value);
                }
                $this->request[$this->key] = mysql_escape_string(htmlspecialchars($this->value));
            }
        }
        return $this->request;
    }

Alles anzeigen

die Codescnipsel der die einträge in die Xml Datei macht sieht so aus:

PHP

final public function update($s=0)
    {
        $morph = array();
        $b = false;
        $i = 0;
        $m = 0;


        $p = !$s ? "../xml/main.xml" : "../xml/list.xml";


        $xml = simplexml_load_file($p);


        foreach($xml->chat as $match) {
            if(!$b) {$m++;}else{break;}
            foreach($match->attributes() as $room) {
                if($room == $this->request['room']) {
                    $b = true;
                    break;
                }
            }
        }


        switch($s)
        {
            case 0:


                if((!empty($this->request['Nachricht'])) && (isset($_SESSION['user']))) {


                    $input = $this->request['Nachricht'];


                    $newMsg = $xml->chat[$m-1]->addChild("message", $input);
                    $newMsg->addAttribute("user", " ".$_SESSION['user'].": ");
                    $newMsg->addAttribute("ip", $_SESSION['ip']);
                    $newMsg->addAttribute("id", $_SESSION['id']);
                    $newMsg->addAttribute("time", '('.date("H:i:s").')');
                    $newMsg->addAttribute("font", $this->request['font']);
                    $newMsg->addAttribute("color", '#'.$this->request['color']);


                }


                $xml->asXML($p);


            break;


            case 1:


                $gpath = $_SESSION['gesch'] ? 'grafik/quader/boy.gif' : 'grafik/quader/girl.gif' ;


                $newMsg = $xml->chat[$m-1]->addChild("user", " ".$_SESSION['user']);
                $newMsg->addAttribute("id", $_SESSION['id']);
                $newMsg->addAttribute("time", $_SESSION['id']);
                $newMsg->addAttribute("ip", $_SESSION['ip']);
                $newMsg->addAttribute("sex", $gpath);
                $newMsg->addAttribute("st", 'i');


                $xml->asXML($p);


            break;


        }


        self::getAlert();


    }

Alles anzeigen

Ich versteh absolute nicht wieso, also die daten stehen so in der XML Datei

HTML

&lt;a href=\\"\\"&gt;huhu&lt;/a&gt;

dieses Element wird nach den abruf über Ajax als Link dargestellt !

Danke, schon einmal !

Tobse

Machs doch so, speicher in eine geschützte Datei in die erste zeile den Autor und in die zweite den geschriebenen Text. Wenn jetzt ein Client über AJAX den neusten Chat-Stand abfragt, liest du mit einer eigenen PHP-Datei das beides aus und gibts dann z.B. sowas zurück:

XML

<?xml version="1.0">
<root>
 <author>Tobse</author>
 <text>Test</text>
</root>

Sp kannst du auch verhindern, dass nur eingeloggte member den Chat mitverfolgen können. Das mit dem < ung > kommt aus htmlspechialchars();.
Mein Tipp ist aber, den Usern mit htmlentities(); das HTML-Schreiben zu verbieten, kann über <script>-Tags böse enden.

webcoolcity

Hi, ich verbiete ja HTML, das Problem ist das auch wenn ich html escaped habe es trotzdem auf dem Bildschirm angezeigt wird, genau das soll es ja nicht, wie oben schon beschrieben ist jedes html element escaped worden bevor es in der XML datei gespeichert wurde weil ich eben html verbiete.

Aber wenn jetzt ein Client mit ajax darauf zugreift zeigt der browser das html element das eigentlich escaped ist trotzdem als html an, das soll es ja nicht.

Meine frage ist jetzt wie verhindere ich das ??

Das was du geschrieben hast ist mir ja klar, und genau so mache ich das ja.

Aber meine Frage war leider eine andere !

Trotzdem Danke.

jojo87

interessanter wäre der Schnipsel, der die Abfrage an das XML-Dokument macht und ausgibt.

webcoolcity

Hi,

sorry hier der Code der die Ausgabe macht (Javascript):

PHP

case '1':


                var chatroom = document.getElementById('room');


                var quader = tmp['xml'].getElementsByTagName('quader');


                var display = document.getElementById("ajax_1");


                for(var k=0; k < quader.length ;k++) {


                    for(var i=0; i < quader[k].getElementsByTagName('chat').length ;i++)
                    {
                        chat = quader[k].getElementsByTagName('chat')[i];


                        if(chat.getAttribute('room') == chatroom.value)
                        {
                            m_c = chat.getElementsByTagName('message').length;


                            if((m_c > 10) && (z == 0)) { z = m_c-10; }


                            for(var q=z; q <  m_c;q++)
                            {
                                message = chat.getElementsByTagName('message')[q];


                                div = document.createElement('div');


                                user_info = document.createElement('span');
                                user_info.setAttribute('class', 'clock');
                                user_info.innerHTML = message.getAttribute('time');


                                div.appendChild(user_info);


                                user_name = document.createElement('span');
                                user_name.innerHTML = message.getAttribute('user');


                                div.appendChild(user_name);


                                user_message = document.createElement('font');
                                user_message.setAttribute('face', message.getAttribute('font'));
                                user_message.setAttribute('color', message.getAttribute('color'));
                                user_message.innerHTML = message.firstChild.nodeValue;


                                div.appendChild(user_message);


                                display.appendChild(div);


                                scrollme();


                                z = m_c;


                            }
                        }
                    }
                }


                getUserlist();


            break;

Alles anzeigen

die neuen einträge fügt das Script nach und nach auf dem Bilschirm ein !

Die Abfrage geschieht über Ajax das BasisScript :

PHP

function request()
    {
        if (window.XMLHttpRequest) { // Mozilla, Safari,...
            http_request = new XMLHttpRequest();
            if (http_request.overrideMimeType) {
                http_request.overrideMimeType(pto);
            }
        } else if (window.ActiveXObject) { // IE
            try {
                http_request = new ActiveXObject("Msxml2.XMLHTTP");
            } catch (e) {
                try {
                    http_request = new ActiveXObject("Microsoft.XMLHTTP");
                } catch (e) {}
            }
        }


        if (!http_request) {
            alert(
                "Kann keine XMLHttp-Instanz erzeugen !"
                );
            return false;
        }


        http_request.onreadystatechange = CatchReQ;
        http_request.open(methode, url, true);
        http_request.send(body);


    }


    function CatchReQ() {
        if (http_request.readyState == 4) {
            switch (http_request.status)
            {
                case 200:


                    if(pto == 'text/xml') {


                        tmp['xml'] = http_request.responseXML;


                        window.setTimeout(modi, timer);


                    }else{


                        tmp['text'] = http_request.responseText;


                        if(!m) {


                            window.setTimeout(modi, timer);


                        }else{


                            c = document.getElementById(id);
                            c.innerHTML = tmp['text'];


                        }


                    }


                    return tmp;


                break;


                case 404:
                    alert(
                        'ERROR: 404; Seite nicht gefunden !'
                        );
                break;


                default:
                    alert(
                        'ERROR: Verstehe die Antwort vom Server nicht !'
                        );
                break;
            }
        }


    }

Alles anzeigen

Danke, schon einmal !

P.S. Da ich bestimmte header brauch auch wenn die abfrage per ajax geschieht, läuft die abfrage nicht direkt auf das xml dokument sonder über php hier der schnippsel :

PHP

ob_start();


    switch($base->request[$base->param]) {


        case 1:
            $base->userinc();
        break;


        case 2:
            $base->update();
        break;
        case 3:
            base::p_header(1, 0);
            base::p_header('xml', 0);


            $base->output = implode(" ", file('../xml/list.xml'));
        break;
        default:
            $base->job();


            base::p_header(1, 0);
            base::p_header('xml', 0);


            $base->output = implode(" ", file('../xml/main.xml'));
        break;


    }


echo $base->output;


ob_end_flush();

Alles anzeigen

Tobse

Das mein ich, ohne PHP könnte man ja einfah die Datei anschaun. Wenn du anstatt die Usereingabe zu escapen einfach htmlentities(); darauf anwendest, hat sich dein HTML-Problem.

webcoolcity

Zitat von Tobse

Das mein ich, ohne PHP könnte man ja einfah die Datei anschaun. Wenn du anstatt die Usereingabe zu escapen einfach htmlentities(); darauf anwendest, hat sich dein HTML-Problem.

so ein quatsch, du verstehst gar nicht worum es hier geht !

zum 3. mal, warum sollte ich die zeichen die ich gefiltert habe wieder in html umwandeln wenn ich das doch verbiete ! , wenn du das meinst alles andere ist identisch mit htmlspecialchars(); die anführungszeichen escaped doch get_magic_quotes_gpc() voll automatisch !

Lies doch mal -> http://php.net/manual/de/function.htmlentities.php

Frage an die anderen könnte es sein wenn ich den zeichensatzt ändere in utf-8 anstatt iso-blabla das es dass Problem behebt ?

Tobse

Tut mir leid, aber in dem PHP Buch das ich gelesen habe steht, das htmlentities(); alle HTML-Elemente entfernt. Nimm strip_tags();

webcoolcity

Er entfernt die ja nicht er wandelt die sgml tags in steuerzeichen um so das die elemente vom browser nicht interpretiert sondern nur angezeigt werden.

striptags entfernt anführungszeichen ! mein problem hat damit (serverseitig) nichts zu tuhen sondern der XML Parser vom Browser interpretiert den Zeichnsatz falsch !

Du solltest dich noch einmal mit escape,zeichensatz und steuerzeichen auseinnandersetzen !

Tobse

Was fürn Witz! hier, das hab ich lokal getestet:

PHP

<?php
$string="Das ist kein HTML.\n<a>Das ist HTML</a>";
echo strip_tags($string);
?>

und das Hat der Browser angezeigt:

Zitat von Mozilla Firefox

Das ist kein HTML. Das ist HTML

und das Stand im Quellcode:

Zitat von Quellcode

Das ist kein HTML.
Das ist HTML

Löst das jetzt dein Problem? Wenn nicht dann bin ich draußen.

webcoolcity

Nein, tut es nicht !

du verstehst immer noch nicht das es mit dem Server immer noch nichts zu tuhen hat !

ich wende htmlspecialchars ja an !

und die sgml elemente wurden ja au gefiltert und au so in dem xml dokument gespeichert und jetzt kommt mein problem, da das xml document in ein DOM Objekt gepackt wird durch javascript um die antwort vom server (xml) zu verarbeiten um es auf dem bildschirm anzuzeigen, werden die steuerzeichen die durch htmlspecialchars aus dem html zeichen generiert wurden ignoriert und trotzdem als html element dargestellt, der Browser zeigt die angabe :

als Link an

obwohl dieser string mit htmlspecialchars in steuerzeichen umgewandelt wurde:

<a href=\\"\\">huhu</a>

jetzt klar ?

Das Problem muß ich mit Javascript beheben in dem ich das nochmal filtern werde mit PCRE

Steuerzeichen sind zeichen um die Anzeige zu steuern z.b. \r \n usw. der Browser ob xml parser oder javascript (Objekte) benutzen den Falschen zeichensatz ISO-bla bla und ich werde ihn jetzt zu utf-8 ändern und dann filtern per Js

Tobse

Gut, wenn dus nicht verstehen willst. Wenn du strip_tags(); anwendest, musst du dich mit JS n scheiss da drum kümmern.

webcoolcity

Du hast absolut keine ahnung, du verstehst noch nicht einmal das ich das anwende !, und das das problem nicht serverseitig ist

jojo87

so wie ich das sehe, wirst du tatsächlich mit javascript gezielt den Text filtern müssen.
Über einen regulären Ausdruck sollte das aber nicht allzu problematisch sein.
Was Anderes fällt mir dazu nicht ein.

Tobse: Wenn er den original-input behalten will, bringt ihm strip_tags nix.

webcoolcity: ich würds an deiner Stelle drauf scheißen und es trotzdem nutzen
Evtl. setzt du noch nen Parser dazwischen, der bei Links und/oder Bildern die Quellen (in den beiden fällen also "href" und "src") dazu behält, damit gehen den Nutzern keine Infos flöten.

@euch beide: lasst das Geflame! Sonst mach ich hier dicht!

webcoolcity

Zitat von jojo87

@euch beide: lasst das Geflame! Sonst mach ich hier dicht!

ist schon gut nur das nervte langsam.

also ich seh das genau so ich werde das wohl noch einmal filtern *kotz müssen

naja danke, bis dann

Tags

Benutzer online in diesem Thema