Aankruist.
En daar worden ook maar een zeer beperkt aantal tags toegestaan, namelijk standaard <b>, <i>, <u> en <pre>. De controle op wat er in deze tags zit is behoorlijk streng, als je zelf de PHP functie strip_tags() met toegestane tags gebruikt heb je dat niet.
html in profile field
Forumregels
Sinds 1 januari 2009 wordt phpBB2 niet meer ondersteund.
Onderstaande informatie is verouderd en dient uitsluitend als archief.
Sinds 1 januari 2009 wordt phpBB2 niet meer ondersteund.
Onderstaande informatie is verouderd en dient uitsluitend als archief.
Ja, dat is mogelijk, ze kunnen bijvoorbeeld de opmaak veranderen, cookies overschrijven, formulieren handelen, dat soort ongein. Vooral NIET doen!sukkelaap schreef:is het trouwens echt heel gevaarlijk om <script> toe te staan.
Kijk ze kunnen in iedergeval hun eigen profiel verklote dan, maar is het er ook me mogelijk om de hele site te mollen of dat niet?
... Maar ik modereer (nog) niet.
Heb je een linkje? Dat wil ik wel eens zien namelijk, ik vind het nogal gevaarlijk namelijk.sukkelaap schreef:Hoe doen andere sites dat dan? ik ken namelijk sites die html gewoon toestaan erno en waar je hele leuke dingen met javascript kan doen kwa opmaak van de site met wat bewegende dingen.
... Maar ik modereer (nog) niet.
jah ok maar ik wil dus ook dat die gewoon doet net als je een post plaatst op het forum of een privé bericht stuurd dat die dus html toestaat met de tags die je in het admin paneel veilig steld.
Dus normaal kan ik nu in een post: b, i, u, pre gebruiken, maar dat dit dus nu ook in je profiel toestaat.
Is dar geen mod anders voor ofzow?
Dus normaal kan ik nu in een post: b, i, u, pre gebruiken, maar dat dit dus nu ook in je profiel toestaat.
Is dar geen mod anders voor ofzow?
ze staan alleen bbcode toe bij mij iig
Moet je hier niet wat mee doen:
Moet je hier niet wat mee doen:
Code: Selecteer alles
if ( $mode == 'register' )
{
$attachsig = ( isset($HTTP_POST_VARS['attachsig']) ) ? ( ($HTTP_POST_VARS['attachsig']) ? TRUE : 0 ) : $board_config['allow_sig'];
$allowhtml = ( isset($HTTP_POST_VARS['allowhtml']) ) ? ( ($HTTP_POST_VARS['allowhtml']) ? TRUE : 0 ) : $board_config['allow_html'];
$allowbbcode = ( isset($HTTP_POST_VARS['allowbbcode']) ) ? ( ($HTTP_POST_VARS['allowbbcode']) ? TRUE : 0 ) : $board_config['allow_bbcode'];
$allowsmilies = ( isset($HTTP_POST_VARS['allowsmilies']) ) ? ( ($HTTP_POST_VARS['allowsmilies']) ? TRUE : 0 ) : $board_config['allow_smilies'];
}
else
{
$attachsig = ( isset($HTTP_POST_VARS['attachsig']) ) ? ( ($HTTP_POST_VARS['attachsig']) ? TRUE : 0 ) : 0;
$allowhtml = ( isset($HTTP_POST_VARS['allowhtml']) ) ? ( ($HTTP_POST_VARS['allowhtml']) ? TRUE : 0 ) : $userdata['user_allowhtml'];
$allowbbcode = ( isset($HTTP_POST_VARS['allowbbcode']) ) ? ( ($HTTP_POST_VARS['allowbbcode']) ? TRUE : 0 ) : $userdata['user_allowbbcode'];
$allowsmilies = ( isset($HTTP_POST_VARS['allowsmilies']) ) ? ( ($HTTP_POST_VARS['allowsmilies']) ? TRUE : 0 ) : $userdata['user_allowsmile'];
}Jah maar als er dus iemand komt kan die dan toch die site hacken? Het lijkt me dus wel dat ze dat beveiligd hebben. Lijkt me namelijk wel gaaf als je wat <script> effectjes kan toevoegen.bee schreef:Ja, maar cu2 is voor mindere slimme mensen die niet kunnen inrichten en die gewoon ordinair cut and paste doen. Toch blijf ik erbij, het is gevaarlijk.
Daar is wat aan te doen, maar dat zou ik als ik jouw was niet aanpassen. Weet je waarom niet?
Stel, ik typ dan <big in een tekst, dan zal alles wat daarna komt wordn gezien als attribuut van het element, en zal er niets meer getoond worden. Komt er dan toevallig een >, dan zal alles wat daarna komt groot blijven. De kans dat iemand namelijk </big> zal gebruiken is redelijk klein tot nihil. Ook dit is dus een van de redenen waarom je geen html moet gebruiken, want phpBB sluit dat niet automatisch af, en je kan er dus de layout mee verknoeien.
Stel, ik typ dan <big in een tekst, dan zal alles wat daarna komt wordn gezien als attribuut van het element, en zal er niets meer getoond worden. Komt er dan toevallig een >, dan zal alles wat daarna komt groot blijven. De kans dat iemand namelijk </big> zal gebruiken is redelijk klein tot nihil. Ook dit is dus een van de redenen waarom je geen html moet gebruiken, want phpBB sluit dat niet automatisch af, en je kan er dus de layout mee verknoeien.
... Maar ik modereer (nog) niet.
maar in usercp_viewprofile staat gewoon dit:
dit is toch goed?
//Edit
Ik zie dat er in database geen veld staat die allow_html_uid heet. Dat moet toch wel? en in usercp_register daar staat ook niks over deze tag in zeg maar geloof ik, alleen over bbcode
Code: Selecteer alles
$extra = ( $profiledata['user_extra'] != '' ) ? $profiledata['user_extra'] : '';
$extra_bbcode_uid = $profiledata['user_extra_bbcode_uid'];
if( !$board_config['allow_html'] )
{
if( $extra != '' && $userdata['user_allowhtml'] )
{
$extra = preg_replace('#(<)([\/]?.*?)(>)#is', "<\\2>", $extra);
}
}
if( $board_config['allow_bbcode'] )
{
if( $extra != '' && $extra_bbcode_uid != '' )
{
$extra = ( $board_config['allow_bbcode'] ) ? bbencode_second_pass($extra, $extra_bbcode_uid) : preg_replace('/\:[0-9a-z\:]+\]/si', ']', $extra);
}
}
if( $board_config['allow_smilies'] )
{
if ( $profiledata['user_allowsmile'] && $extra != '' )
{
$extra = smilies_pass($extra);
}
}
$extra = str_replace("\n", "\n<br />\n", $extra);
$extra = make_clickable($extra);//Edit
Ik zie dat er in database geen veld staat die allow_html_uid heet. Dat moet toch wel? en in usercp_register daar staat ook niks over deze tag in zeg maar geloof ik, alleen over bbcode
Laatst gewijzigd door sukkelaap op 21 nov 2004, 13:07, 2 keer totaal gewijzigd.
In welke verhouding moet dit goed zijnsukkelaap schreef:maar in usercp_viewprofile staat gewoon dit:dit is toch goed?Code: Selecteer alles
$extra = ( $profiledata['user_extra'] != '' ) ? $profiledata['user_extra'] : ''; $extra_bbcode_uid = $profiledata['user_extra_bbcode_uid']; if( !$board_config['allow_html'] ) { if( $extra != '' && $userdata['user_allowhtml'] ) { $extra = preg_replace('#(<)([\/]?.*?)(>)#is', "<\\2>", $extra); } } if( $board_config['allow_bbcode'] ) { if( $extra != '' && $extra_bbcode_uid != '' ) { $extra = ( $board_config['allow_bbcode'] ) ? bbencode_second_pass($extra, $extra_bbcode_uid) : preg_replace('/\:[0-9a-z\:]+\]/si', ']', $extra); } } if( $board_config['allow_smilies'] ) { if ( $profiledata['user_allowsmile'] && $extra != '' ) { $extra = smilies_pass($extra); } } $extra = str_replace("\n", "\n<br />\n", $extra); $extra = make_clickable($extra);
Dat het goed is klopt, anders zit het niet in de code, en het is ook duidelijk te zien waar het voor is, maar in welke verhouding moet het voor jouw goed zijn.
... Maar ik modereer (nog) niet.
nog effuh een vraag. ik heb dus wel de custom profile hack erop staan dara kan je ook kiezen voor html maar het probleem is dat ik die al op een andere plek in me profiel gebruik, en dat veld dak nu wil maken moet op een andere plaats komen maar als ik dat gewoon invul komt die onder de standaard vragen te staan en dat wil ik dus niet.
ik weet wel dat er op die mod iets onder staat met custom instellingen en het zal me niks verbazen als ik het zo las dat je het daar mee kan regelen en op een andere plek op de pagina kon laten verschijnen. ik snap er alleen nisk van dus als iemand me dat kan uitleggen of aanwijzen erg graag
ik weet wel dat er op die mod iets onder staat met custom instellingen en het zal me niks verbazen als ik het zo las dat je het daar mee kan regelen en op een andere plek op de pagina kon laten verschijnen. ik snap er alleen nisk van dus als iemand me dat kan uitleggen of aanwijzen erg graag
Een UID voor HTML?? Ik geloof dat je nog steeds niet echt begrijpt wat ik je verteld heb over het BBcode UID systeem...sukkelaap schreef:Ik zie dat er in database geen veld staat die allow_html_uid heet. Dat moet toch wel? en in usercp_register daar staat ook niks over deze tag in zeg maar geloof ik, alleen over bbcode