Wuu Posted January 24, 2008 Report Posted January 24, 2008 Kādas funkcijas lai izmanto la saglabātu drošu tekstu? izmantojot htmlspecialchars nevar ielikt html tagus! Tātad caur ko var pārbaudīt vai iekšā postā nav kāds php vai mysql kods ieslēpt?
Delfins Posted January 24, 2008 Report Posted January 24, 2008 (edited) kamdēļ pārbaudīt? Ja netaisies eval() taisīt tad pofig.. galvenais eskeipot... nu un JS izvākt ārā. NU un vispār stulbā prasība - ļaut rakstīt HTML kodu un kaut ko ierobežot... izmanto savējos tagus.. tā kā tas ir forumos. Edited January 24, 2008 by Delfins
Wuu Posted January 24, 2008 Author Report Posted January 24, 2008 kamdēļ pārbaudīt? Ja netaisies eval() taisīt tad pofig.. galvenais eskeipot... nu un JS izvākt ārā.NU un vispār stulbā prasība - ļaut rakstīt HTML kodu un kaut ko ierobežot... izmanto savējos tagus.. tā kā tas ir forumos. Iesaki, kādas funkcija lietot lai veidotu savus tagus?
mounkuls Posted January 25, 2008 Report Posted January 25, 2008 (edited) Taču ieteica izmantot metodi kā WEB forumos, BBCode. Pirms repleisa visu lieko ar strip_tags() griez ārā vai arī aizvieto visus html jūtīgos ar ASCII kodu. Lai drukā līdz vemšanai. Tikai tad vēl trim() un stripslashes() vēlams likt. ------------- Man arī pašam neliels jautājums visiem: Ja netaisies eval() taisīt tad pofig.. Kur var rasties vajadzība pēc eval() tā tīri praktiski (ja neskaita shell)? Edited January 25, 2008 by mounkuls
Delfins Posted January 25, 2008 Report Posted January 25, 2008 PHP snippets :D CMS-iem paneļkas visādas.
andrisp Posted January 25, 2008 Report Posted January 25, 2008 mounkulis, vienkāršakais gadījums - ir tāds sistēmas, kur kaut kādi php kodi tiek glabat datubāzē. Tur, piemēram, eval ir vajadzigs. Attiecībā par "drošajiem tekstiem", es ieteiktu izmantot http://htmlpurifier.org/.
Aleksejs Posted January 25, 2008 Report Posted January 25, 2008 Andri, paldies! htmlpurifier izskatās tieši tas kas vajadzīgs!
Recommended Posts