[javascript] controles - Softwareontwikkeling

dinsdag 16 augustus 2005 14:52

Acties:

Verwijderd

Topicstarter

ik zoek een script waarmee ik dit kan doen :

1. uitvoering van scripts tegenhouden
-> bvb msg=test<script>alert("insert%20malicious%20script%20here");</script>enzovoorts
2. De "enter" tekens meenemen
3. quotes meenemen

ik zoek op google op javascript data-entry validation maar krijg enkel controles op lege invoervelden en voor een juist emailadres...
moet ik andere parameters ingeven? (heb ook al op enters in memo gezocht, maar krijg dan weer dingen zoals het submitten met een enter of naar het volgende veld gaan)

dinsdag 16 augustus 2005 14:55

Acties:

Willem

Heb je al eens op hotscripts.com gekeken?

Motor onderhoud bijhouden

dinsdag 16 augustus 2005 14:57

Acties:

Verwijderd

Topicstarter

willem169 schreef op dinsdag 16 augustus 2005 @ 14:55:
Heb je al eens op hotscripts.com gekeken?

ja, daar vind ik ze ook enkel voor email en lege velden

tenzij ik weer verkeerd zoek...

dinsdag 16 augustus 2005 15:30

Acties:

Verwijderd

waar gaat dit eigenlijk over? content van een guestbook ofzo?
dat zou ik ten eerste op de server afhandelen, met wat replaces.

zoek eens op nl2br(), en preg_replace() (als php), voor quotes (enkele) moet je eens zoeken op magic_quotes geloof ik, iig, dit zou meer iets voor de buren zijn

dinsdag 16 augustus 2005 15:50

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op dinsdag 16 augustus 2005 @ 15:30:
waar gaat dit eigenlijk over? content van een guestbook ofzo?
dat zou ik ten eerste op de server afhandelen, met wat replaces.

zoek eens op nl2br(), en preg_replace() (als php), voor quotes (enkele) moet je eens zoeken op magic_quotes geloof ik, iig, dit zou meer iets voor de buren zijn

nee het heeft niets met een gastenboek te maken, wat ik doe is een tekst ingeven in een memoveld en dan wordt er een mailtje gestuurd waarin een link staat alsvolgt : bekijk_tekst.asp?memo=blabla

nu mag er geen script code in voorkomen en het mag ook niet stoppen als je een quote in je tekst gebruikt en de enters moeten er zijn als je het bericht leest

dinsdag 16 augustus 2005 15:55

Acties:

Verwijderd

En waarmee maak je dat mailtje op dan? Enters is een kwestie van chr(13) en chr(10) replacen met een <br /> en die scripts is een kwestie van zoeken op url encoding/script injection/ escape

En nu aan het werk...

dinsdag 16 augustus 2005 16:00

Acties:

Aram

Gebruik de escape functie van Javascript om een string te encoden: http://www.devguru.com/Te...ript/quickref/escape.html

Nog een voorbeeldje:

code:

<HTML>
    <HEAD>
        <TITLE>Escape Test</TITLE>
        <SCRIPT LANGUAGE="JavaScript">
        <!--
            function enc() {
                alert(escape(document.f1.txt1.value));
            }
        //-->
        </SCRIPT>
    </HEAD>
    <BODY>
        <FORM NAME="f1">
            <TEXTAREA NAME="txt1" ROWS="" COLS=""></TEXTAREA>
            <INPUT TYPE="button" ONCLICK="enc();" VALUE="Encode">
        </FORM>
    </BODY>
</HTML>

[ Voor 61% gewijzigd door Aram op 16-08-2005 16:03 ]

dinsdag 16 augustus 2005 16:07

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op dinsdag 16 augustus 2005 @ 15:55:
En waarmee maak je dat mailtje op dan? Enters is een kwestie van chr(13) en chr(10) replacen met een <br /> en die scripts is een kwestie van zoeken op url encoding/script injection/ escape En nu aan het werk...

via cdosys ...

dinsdag 16 augustus 2005 16:13

Acties:

Verwijderd

Verwijderd schreef op dinsdag 16 augustus 2005 @ 16:07:
[...]

via cdosys ...

wel? da's toch op de server dan? alleen asp:
http://www.devguru.com/Te...ipt/quickref/replace.html
http://www.devguru.com/Te...ript/quickref/regexp.html

(nooit uitgaan van clientside validation he)

[ Voor 21% gewijzigd door Verwijderd op 16-08-2005 16:15 ]