Sicherheit bei Eingabeformat php-code

Und die Warnung auf der Modulseite hast du einfach ignoriert?

Entscheidend ist nicht, was die Benutzer sehen, sondern was sie an deine Site senden. Und das kann sowas von einfach manipuliert werden. Schau dir mal TamperData an und mache dich auch mit dem Hypertext Transfer Protocol vertraut.

--

Also ist das sozusagen sehr gefählich. Dann lieber auf Filtered HTML umstellen?

Ich will's mal so ausdrücken: das einzige was gefährlicher ist, ist jedem Benutzer einen Administratorzugang zu deinem Rechner zu geben.

Besser auf Filtered HTML umschalten.

--

Jedoch wird bei Filtered HTML dann keine Formatierung des FCKs wie Schriftgröße und Farbe übernommen.
Kann ich das irgendwie hinkriegen?

Noch mal ein anderer Gedanke, blockt der FCK nicht solche gefährlichen Sachen raus oder denk ich da falsch?

Wenn ich PHP-Code an deine Seite senden will, dann mache ich das einfach. Da kann weder der FCKEditor noch du etwas gegen unternehmen. Das Senden von Daten ist ja auch nicht das eigentliche Problem.

Problematisch wird es erst dann, wenn die Daten angezeigt werden. Das Eingabeformat gibt vor, wie diese Daten für die Anzeige in HTML umgewandelt werden sollen. Beim Eingabeformat PHP-Code geschieht das, indem die Daten als PHP-Anweisungen ausgeführt werden, was katastrophal werden kann. Beim Eingabeformat Filtered HTML geschieht das, indem bestimmte HTML-Tags entfernt werden.

EDIT: Nach Hinweis von Meander angepasst.
--

Du meinst bestimmt Filterd-HTML!?

Also für Nutzer kein php!

Aber wie schon gesagt, wenn ich auf Filterd-html umstelle, wird keine Formatierung des FCKs wie Schriftgröße und Farbe übernommen. Kann ich das irgendwie hin bekommen oder liegt da gerade der Knackpunkt?
Wie wurden denn die Optionen bei den Kommentaren hier im Center realisiert?

Copy&Paste is a Bitch.

Genau.

Du kannst konfigurieren, welche HTML-Tags im Eingabeforma Filtered HTML erlaubt sind. Schau dir an welche HTML-Tags vom FCKEditor erzeugt werden.

--

Ich kann unter settings/admin/filters nur vorhandene Filter auswählen. Hinzufügen kann ich wohl nur welche durch Module wie wysiwyg Filter zum Beispiel? Direktes Hinzufügen von Tags wie <img> oder ähnliches ist hier wie ich sehe nicht möglich.

Man kann Eingabeformate konfigurieren. Dazu gehört nicht nur das hinzufügen und entfernen von Filtern, sondern auch die Konfiguration der einzelnen Filter. Schau noch mal hin, ist da irgendwo. Link habe ich gerade nicht zur Hand.

--

Ich hab jetzt auf Filtered HTML umgestellt und den HTML-Filter mit den entsprechenden Tags wie z.B <img> und <font> erweitert. Funktioniert alles so weit ganz gut!