Bug #863

htmlcode wird in Kurzbeschreibung gespeichert und in Listen dargestellt

Von Slini11 vor fast 3 Jahren hinzugefügt. Vor fast 3 Jahren aktualisiert.

Status:erledigt% erledigt:

100%

Priorität:3 hoch
Zugewiesen an:Slini11
Zielversion:Version 16
Ticket Referenz: Kategorien:listing

Beschreibung

Wenn man in die Kurzbeschreibung eines Listing einen html-Text eingibt, wird dieser inklusive der html-Tags gespeichert.
Ruft man das Listing auf, wird dieser html-Code allerdings nicht ausgeführt sondern der html-Code als Quellcode dargestellt (http://www.opencaching.de/viewcache.php?cacheid=134673).
Schaut man sich allerdings eine Liste an (in der die Kurzbeschreibung ja auch immer angezeigt wird), wird dort der Quellcode der Kurzbeschreibung ohne Filterung dargestellt (http://www.opencaching.de/search.php?showresult=1&expert=0&f_inactive=0&output=HTML&sort=byname&ownerid=142103&searchbyowner=&calledbysearch=0).
Versucht man dann die Beschreibung wieder zu ändern, wird einem nur ein leeres Feld angezeigt. Solange man den Text nich ändert, wird die der "unsichtbare" Quellcode weiter dargestellt.

--> html-Code müsste gänzlich aus der Kurzbeschreibung gefiltert werden.

Zugehörige Revisionen

Revision 036734d5
Von Slini11 vor fast 3 Jahren hinzugefügt

new order on statistic pic selection page, new oclogo is now on top of the list updates #753 ; shot discription dosen't contain html-tags anymore updates #863

Revision edebac72
Von mambofive vor fast 3 Jahren hinzugefügt

Merge pull request #225 from Slini11/0753-statistic-profil-picture-order

0753 new order on statistic pic selection page, don't dispaly hmtl in short discription updates #753 updates #863

Historie

#1 Von Slini11 vor fast 3 Jahren aktualisiert

  • Status wurde von neu zu in Arbeit 70% geändert
  • Zugewiesen an wurde auf Slini11 gesetzt
  • Zielversion wurde auf Version 16 gesetzt
  • % erledigt wurde von 0 zu 70 geändert

#2 Von Slini11 vor fast 3 Jahren aktualisiert

  • Status wurde von in Arbeit 70% zu in Arbeit 80% geändert
  • % erledigt wurde von 70 zu 80 geändert

#3 Von following vor fast 3 Jahren aktualisiert

Die Kurzbeschreibung ist Plain-Text-Format, also da kann jede beliebige Zeichenfolge drinstehen, auch wenn sie wie HTML aussieht. Sauber wäre hier ein durchgehendes Escaping der HTML-Entities. Wahrscheinlich fehlt nur der "|escape"-Modifier in dem Templates für die Suchergebnisliste und entsprechendes Escaping in editdesc.php.

Filterung ist problematisch, weil sie nicht 100% zuverlässig ist und nicht abwärtskompatibel zu alten Daten.

#4 Von Slini11 vor fast 3 Jahren aktualisiert

Ok, macht Sinn. htmlspecialchars() ist wohl wirklich besser.
Das "|escape" lasse ich aber weiterhin raus.
Denn " '& lt; img src="http://img.geocaching.com/cache/78b6a0f1-740d-4f86-90a4-3fe85386aca2.jpg &qu ot;& gt;" sieht echt sehr komisch aus (natürlich ohne die Leerzeichen dazwischen ;-) ).
Das finde das "<img src="http://img.geocaching.com/cache/78b6a0f1-740d-4f86-90a4-3fe85386aca2.jpg">" nicht ganz so zerschossen. Oder gibts da irgendwelche Sicherheitsbedenken ? Oder ist das gegen den Stil von OC ^^ ?

#5 Von following vor fast 3 Jahren aktualisiert

|escape macht ungefähr das Gleiche wie htmlspecialchars(), ist aber wesentlich sauberer weil es auf der Präsentationsebene stattfindet: Es ist Teil von Smarty und "weiß" daher am besten, wie der String für die Darstellung aufbereitet werden muss. Empfehle dringend escape statt htmlspecialchars().

#6 Von Slini11 vor fast 3 Jahren aktualisiert

  • Status wurde von in Arbeit 80% zu im Test geändert
  • % erledigt wurde von 80 zu 90 geändert

#7 Von following vor fast 3 Jahren aktualisiert

  • Status wurde von im Test zu erledigt geändert
  • % erledigt wurde von 90 zu 100 geändert

Auch abrufbar als: Atom PDF