Bug #863

htmlcode wird in Kurzbeschreibung gespeichert und in Listen dargestellt

Added by Slini11 almost 4 years ago. Updated over 3 years ago.

Status:erledigt% Done:

100%

Priority name:3 hoch
Assignee:Slini11
Target version:Version 16
Ticket Referenz: Kategorien:listing

Description

Wenn man in die Kurzbeschreibung eines Listing einen html-Text eingibt, wird dieser inklusive der html-Tags gespeichert.
Ruft man das Listing auf, wird dieser html-Code allerdings nicht ausgeführt sondern der html-Code als Quellcode dargestellt (http://www.opencaching.de/viewcache.php?cacheid=134673).
Schaut man sich allerdings eine Liste an (in der die Kurzbeschreibung ja auch immer angezeigt wird), wird dort der Quellcode der Kurzbeschreibung ohne Filterung dargestellt (http://www.opencaching.de/search.php?showresult=1&expert=0&f_inactive=0&output=HTML&sort=byname&ownerid=142103&searchbyowner=&calledbysearch=0).
Versucht man dann die Beschreibung wieder zu ändern, wird einem nur ein leeres Feld angezeigt. Solange man den Text nich ändert, wird die der "unsichtbare" Quellcode weiter dargestellt.

--> html-Code müsste gänzlich aus der Kurzbeschreibung gefiltert werden.

Associated revisions

Revision 036734d5
Added by Slini11 almost 4 years ago

new order on statistic pic selection page, new oclogo is now on top of the list updates #753 ; shot discription dosen't contain html-tags anymore updates #863

Revision edebac72
Added by mambofive almost 4 years ago

Merge pull request #225 from Slini11/0753-statistic-profil-picture-order

0753 new order on statistic pic selection page, don't dispaly hmtl in short discription updates #753 updates #863

History

#1 Updated by Slini11 almost 4 years ago

  • Status changed from neu to in Arbeit 70%
  • Assignee set to Slini11
  • Target version set to Version 16
  • % Done changed from 0 to 70

#2 Updated by Slini11 almost 4 years ago

  • Status changed from in Arbeit 70% to in Arbeit 80%
  • % Done changed from 70 to 80

#3 Updated by following almost 4 years ago

Die Kurzbeschreibung ist Plain-Text-Format, also da kann jede beliebige Zeichenfolge drinstehen, auch wenn sie wie HTML aussieht. Sauber wäre hier ein durchgehendes Escaping der HTML-Entities. Wahrscheinlich fehlt nur der "|escape"-Modifier in dem Templates für die Suchergebnisliste und entsprechendes Escaping in editdesc.php.

Filterung ist problematisch, weil sie nicht 100% zuverlässig ist und nicht abwärtskompatibel zu alten Daten.

#4 Updated by Slini11 over 3 years ago

Ok, macht Sinn. htmlspecialchars() ist wohl wirklich besser.
Das "|escape" lasse ich aber weiterhin raus.
Denn " '& lt; img src="http://img.geocaching.com/cache/78b6a0f1-740d-4f86-90a4-3fe85386aca2.jpg &qu ot;& gt;" sieht echt sehr komisch aus (natürlich ohne die Leerzeichen dazwischen ;-) ).
Das finde das "<img src="http://img.geocaching.com/cache/78b6a0f1-740d-4f86-90a4-3fe85386aca2.jpg">" nicht ganz so zerschossen. Oder gibts da irgendwelche Sicherheitsbedenken ? Oder ist das gegen den Stil von OC ^^ ?

#5 Updated by following over 3 years ago

|escape macht ungefähr das Gleiche wie htmlspecialchars(), ist aber wesentlich sauberer weil es auf der Präsentationsebene stattfindet: Es ist Teil von Smarty und "weiß" daher am besten, wie der String für die Darstellung aufbereitet werden muss. Empfehle dringend escape statt htmlspecialchars().

#6 Updated by Slini11 over 3 years ago

  • Status changed from in Arbeit 80% to im Test
  • % Done changed from 80 to 90

#7 Updated by following over 3 years ago

  • Status changed from im Test to erledigt
  • % Done changed from 90 to 100

Also available in: Atom PDF