Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
Самоучитель MySQL 5. Авторы: Кузнецов М.В., Симдянов И.В. PHP на примерах (2 издание). Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель PHP 5 / 6 (3 издание). Авторы: Кузнецов М.В., Симдянов И.В. MySQL 5. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В. PHP. Практика создания Web-сайтов (второе издание). Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Форум PHP

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум Структурный форум

тема: Использование htmlspecialchars и выполнение ряда тэгов
 
 автор: Bvz   (02.05.2010 в 22:01)   письмо автору
 
 

текст вместе с html тегами выводится на страницу, для предотвращения xss используется htmlspecialchars, но тогда все теги перестают работать, а как сделать, чтоб тэги работали и была защита от xss?

bbcode не предлагать!

  Ответить  
 
 автор: Gubichev   (02.05.2010 в 22:12)   письмо автору
 
   для: Bvz   (02.05.2010 в 22:01)
 

Можно попробовать strip_tags с указанием тегов которые удалять не нужно

  Ответить  
 
 автор: Bvz   (02.05.2010 в 22:19)   письмо автору
 
   для: Gubichev   (02.05.2010 в 22:12)
 

но strip_tags не дает защиту от xss

  Ответить  
 
 автор: neadekvat   (02.05.2010 в 22:57)   письмо автору
 
   для: Bvz   (02.05.2010 в 22:01)
 

Кто может добавлять тэги? Если администратор - то про какую xss мы говорим?
А если пользователь - то вводите bbcode, по-моему, это проще, чем выуживать допустимые html-тэги.

  Ответить  
 
 автор: Bvz   (02.05.2010 в 23:02)   письмо автору
 
   для: neadekvat   (02.05.2010 в 22:57)
 

в общем человек отправляет отзыв через форму, потом администратор редактирует и публикует ее

  Ответить  
 
 автор: neadekvat   (02.05.2010 в 23:08)   письмо автору
 
   для: Bvz   (02.05.2010 в 23:02)
 

его, а не её.

И в чем проблема? Добавляете в бд текст "как есть", администратору в textarea, пропустив через htmlspecialchars(). Админ проверит на содержание плохих тегов и опубликует. Затем этот код можно выводить в чистый html.

  Ответить  
 
 автор: Bvz   (02.05.2010 в 23:11)   письмо автору
 
   для: neadekvat   (02.05.2010 в 23:08)
 

текст редактируется в tomymce редакторе

  Ответить  
 
 автор: neadekvat   (02.05.2010 в 23:16)   письмо автору
 
   для: Bvz   (02.05.2010 в 23:11)
 

Так уберите его.
Или сделайте переключатель - сначал админ просмотрит в целом добавленный отзыв на наличие ненужных тэгов, а потом будет наводить марафет в tinymce.
Ну или пишите регулярку, которая не будет пускать скрипты, дивы и т.п.

  Ответить  
 
 автор: Bvz   (02.05.2010 в 23:20)   письмо автору
 
   для: neadekvat   (02.05.2010 в 23:16)
 

1 а как сделать переключатель?
2 а какая регулярка?

  Ответить  
 
 автор: neadekvat   (02.05.2010 в 23:30)   письмо автору
 
   для: Bvz   (02.05.2010 в 23:20)
 

Да хоть через get параметр передавать на каком шаге - просмотра или полнцоенного редактирования с редактором

А вот разбирайтесь и пишите =) Вы на этом сайте дольше меня сидите, а такие вещи спрашиваете, шоппц...

  Ответить  
 
 автор: Bvz   (02.05.2010 в 23:47)   письмо автору
 
   для: neadekvat   (02.05.2010 в 23:30)
 

спасибо!

  Ответить  
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования