Mein Cross-Site-Scripting Problem …

Ich habe ja vor kurzem davon berichtet, dass ich ein Cross-Site-Scripting Problem habe und eine Lösung gefunden habe, das stimmt aber nicht ganz: Die Funktion schafft zwar, dass kein Cross-Site-Scripting mehr möglich ist, zeigt aber auch keine Umlaute mehr an! Da ich den Cross-Site-Scripting Fehler auf fast allen meinen Webseiten gefunden habe, setze ich jetzt alle betroffenen Webseiten auf offline und entwickle ein einheitliches CMS für alle meine Webseiten, das Cross-Site-Scripting nicht erlaubt. (Das kann aber dauern …)

Funktion gegen Cross-Site-Scripting …

Da ich eben noch ein Problem mit Cross-Site-Scripting hatte, möchte ich hier Posten, wie ich es gelöst hab: Ich habe eine neue PHP-Funktion erstellt:

<?php
function nocss($nocss) {
  $nocss = mysql_real_escape_string($nocss);
  $nocss = strip_tags($nocss);
  $nocss = htmlspecialchars($nocss);
  return $nocss;
}
?>

Aufgerufen wird sie so:

<?php
nocss($TEXT);
?>

Alternativer Server (PHP Tut)

<?php
error_reporting(0);
ob_start();
function pingSite($webserver) 
{ 
   foreach ($webserver as $key => $host) 
    { 
        $fp = curl_init($host['url']);
        curl_setopt($fp,CURLOPT_TIMEOUT,10);
        curl_setopt($fp,CURLOPT_FAILONERROR,1);
        curl_setopt($fp,CURLOPT_RETURNTRANSFER,1);
        curl_exec($fp);
        if (curl_errno($fp) != 0)  
        { 
            $webserver[$key]['status'] = false;
        } 
        else  
        { 
            $webserver[$key]['status'] = true;
        } 
        curl_close($fp);
    }
    return $webserver;
} 
$webserver[0]['name'] = 'lima-city';
$webserver[0]['url'] = 'http://webfreclan.lima-city.de';
$webserver = pingSite($webserver);
?>
<html>
<head>
<title>Server Check</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<body>
<?PHP
foreach ($webserver as $key => $host) 
{ 
   if(!$host['status'])
   {
    echo 'Die Server sind zurzeit offline!';
	Header("Location: http://www3.wronnay.tk");
   }
   else
   {
    echo 'Die Server sind zurzeit online!';
    Header("Location: http://webfreclan.lima-city.de");
   }
}  
?>
</body>
</html>
<?php
ob_end_flush();
?>

Dieser Code überprüft, ob der Server „http://webfreclan.lima-city.de“ online ist und leitet im Fall, dass er offline ist, auf http://www3.wronnay.tk weiter.

Anti Spam Updates + Tutorial

In meinen letzten Beitrag habe ich berichtet, dass ich ein SPAM-Problem hatte. Dieses habe ich jetzt beseitigt und gleich ein neues Script namens „AntiSpam NewsSystem“ zum Download bereitgestellt. Wie ich das angestellt habe, möchte ich in diesem Artikel erklären:

Zuerst sollte man wissen, dass SPAM-Autoren meistens keine Menschen, sondern Programme („Spambots“) sind, die das Web ähnlich wie Google durchsuchen und versuchen, in jeden Formular, dass sie finden, Werbung einzutragen. Dabei füllen die Spambots meistens typisch benannte Formulare aus, die man meistens ausfüllen muss (also z.B.: Email, Text, Betreff, Name, …). Das kann man sich zunutze machen, indem man ein Feld mit dem Namen „Email“ anlegt, den Besucher aber seine E-Mail-Adresse in das Feld „hallo“ eintragen lässt. Danach überprüft man, ob in das Feld „Email“ etwas eingegeben wurde und wertet es dementsprechend aus. Sollte das immer noch nicht funktionieren, überprüft man noch, ob Wörter wie „Viagra“ oder „Buy“ eingegeben wurden.

Hier meine Lösung:

Zuerst das HTML-Formular:

<form action="" method="post">
<p class="hallo"><input id="email" type="text" name="email" value="" size="60" /></p>
Kommentar schreiben:
<textarea class="li" name="comment" rows="5" cols="40"></textarea>
Ihr Name: <input class="li" type="text" name="name" />
<input class="lb" type="submit" name="submit" value="Kommentieren" />
</form>

Dann muss man noch per CSS die Class „hallo“ auf dispaly:none; setzen (So sehen die Besucher die Email-Abfrage nicht):

.hallo {display:none;}

Und abschließend wird mit PHP überprüft, ob etwas in das Feld „Email“ eingegeben wurde (der Besucher also ein Spambot ist):

<?php
  if(isset($_POST['submit']) AND $_POST['submit'] == "Kommentieren") {
	  if(isset($_POST['email']) && $_POST['email']) {
	  echo"<div class=\"fehler\">You are an SPAM-Bot!</div>";
	  }
      // hier dann noch der restliche Code...
  }
?>