MyBB.de Forum

Normale Version: Effektiv Formular erstellen
Du siehst gerade eine vereinfachte Darstellung unserer Inhalte. Normale Ansicht mit richtiger Formatierung.
Hallo Leute,

ich bin dabei mich etwas verstärkt in die Plugin-Entwicklung von MyBB einzuarbeiten.
Allerdings gibt es eine Sache, wo ich doch gern euren Rat hätte, und bisher auf keine brauchbaren Tutorials / Umsetzungen gestoßen bin.

Es geht um vollständig neue Formulare (Also nicht die Erweiterung bestehender).
Somit auch das Erstellen komplett neuer Seiten.

Wie würdet ihr an soetwas rangehen? Habt ihr Empfehlungen?
Gibt es bereits ein Objekt / Variable, das sämtliche ans MyBB geschickte GET/POST Daten enthält (ggf. bereits grob validiert/escaped?)


Meine grobe herangehensweise wäre speziell in Bezug auf MyBB folgende:
  • Anlegen der entsprechenden passenden Templates (Frage: Wie am besten bei der action verfahren? Also, was sollte enthalten sein? Empfehlungen für den URL-Aufbau gewünscht - insbesondere auch in Bezug auf SEO-optimierte URLs )
  • Ein Hook finden / nutzen, der direkt nach dem ersten Verarbeiten der GET/POST-Daten ausgeführt wird
  • Auswertung der Daten, anschließend Redirect (Frage: Gibt es zu dem redirect Empfehlung, wie es am besten unter MyBB zu realisieren ist?)


Vielen Dank.

Lg
Raphael
(11.07.2013, 15:52)Raphael schrieb: [ -> ]Gibt es bereits ein Objekt / Variable, das sämtliche ans MyBB geschickte GET/POST Daten enthält (ggf. bereits grob validiert/escaped?)
Die Variable heisst $mybb->input (ist ein Array) und da drin sind sämtliche GET und POST-Daten. Jedoch unescaped und unvalidiert (wie auch, ohne Wissen, was und wie validiert werden muss).

Zitat:Meine grobe herangehensweise wäre speziell in Bezug auf MyBB folgende:
  • Auswertung der Daten, anschließend Redirect (Frage: Gibt es zu dem redirect Empfehlung, wie es am besten unter MyBB zu realisieren ist?)
MyBB hat für den Redirect ein eigene Funktion (redirect()). Diese wird auch bei allen MyBB-Seiten verwendet.
(11.07.2013, 18:27)Falkenauge Mihawk schrieb: [ -> ]
(11.07.2013, 15:52)Raphael schrieb: [ -> ]Gibt es bereits ein Objekt / Variable, das sämtliche ans MyBB geschickte GET/POST Daten enthält (ggf. bereits grob validiert/escaped?)
Die Variable heisst $mybb->input (ist ein Array) und da drin sind sämtliche GET und POST-Daten. Jedoch unescaped und unvalidiert (wie auch, ohne Wissen, was und wie validiert werden muss).

Danke für die Antwort.
Besitzt denn MyBB bereits eine Funktion, um XSS aus Eingaben zu filtern?


Lg
Raphael
XSS ist ein Problem bei der Ausgabe, bei der Eingabe wird deshalb nichts gefiltert.
Das ist durchaus richtig, jedoch nahm ich an, dass aufgrund der zahlreichen Stellen in MyBB, wo Ausgaben in Abhängigkeit der Eingaben erfolgen, es bereits eine Funktion zum rausparsen typischer XSS Statements gibt.

Sprich: Speziell die Maskierung von Anführunszeichen, und deren Entsprechung als Entities, Hexcode, ....
Schließlich wird eine entsprechende Validierung doch auch beim posten eines Beitrages vorgenommen, oder nicht?

MfG
Raphael
Die Maskierung erfolgt immer erst bei der Ausgabe. Oder eben nicht, falls tatsächlich HTML angezeigt werden soll.