Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
Самоучитель PHP 5 / 6 (3 издание). Авторы: Кузнецов М.В., Симдянов И.В. MySQL 5. В подлиннике. Авторы: Кузнецов М.В., Симдянов И.В. PHP 5. На примерах. Авторы: Кузнецов М.В., Симдянов И.В., Голышев С.В. C++. Мастер-класс в задачах и примерах. Авторы: Кузнецов М.В., Симдянов И.В. PHP Puzzles. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Форум PHP

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум Структурный форум

тема: Как исключить возможность применения посетителем HTML-тегов?
 
 автор: Незнайка   (28.10.2008 в 14:24)   письмо автору
 
 

Всем здрасти!
Для того чтобы исключить возможность применения посетителем HTML-тегов, можно использовать функцию htmlspecialchars(). После чего любые теги будут просто отображены на странице, не интерпретируясь браузером.
А можно ли как-нибудь сделать, чтобы в случае обнаружения HTML-тегов данные не добавлялись (с разъяснением: "HTML-теги запрещены!")?

Чё хранить то "мусор"?..

  Ответить  
 
 автор: ddhvvn   (28.10.2008 в 14:32)   письмо автору
 
   для: Незнайка   (28.10.2008 в 14:24)
 

Можно.
А еще можно, "чтоб не хранить мусор", удалять теги с помощью strip_tags.

Тут уже выбирайте что Вам больше нравится.

  Ответить  
 
 автор: Незнайка   (28.10.2008 в 16:32)   письмо автору
 
   для: ddhvvn   (28.10.2008 в 14:32)
 

>Можно .
А можно, кусочек кода?
Будьте добры... :)


P.S. strip_tags злоумышленник всегда может обмануть, вроде, как? Или я что-то напутал?

  Ответить  
 
 автор: sim5   (28.10.2008 в 16:39)   письмо автору
 
   для: Незнайка   (28.10.2008 в 16:32)
 

strip_tags() удаляет сами теги, но не содержимое межу ними! Что значит обмануть?

  Ответить  
 
 автор: Незнайка   (28.10.2008 в 17:23)   письмо автору
 
   для: sim5   (28.10.2008 в 16:39)
 

>> Что значит обмануть?
Да х-то его знает? Я тут прочитал, а понять не могу, куда это относится?

... для решения задачи запрета тегов часто пытаются просто удалить
их из строки - например, применив функцию strip_tags(). Этот метод довольно плох, поскольку всегда сушествует вероятность, что злоумышленник сможет "обмануть" эту функцию.
/PHP5 Д.Котеров, А. Костарев/

  Ответить  
 
 автор: sim5   (28.10.2008 в 17:25)   письмо автору
 
   для: Незнайка   (28.10.2008 в 17:23)
 

Ну, например, пытаемся обмануть так:
$s = "< a href=\"asd\">TEST< /a>";
А теперь выводим:
echo strip_tags($s);
Ссылка будет работать?

  Ответить  
 
 автор: Незнайка   (28.10.2008 в 17:46)   письмо автору
 
   для: sim5   (28.10.2008 в 17:25)
 

Нет.

  Ответить  
 
 автор: sim5   (28.10.2008 в 17:57)   письмо автору
 
   для: Незнайка   (28.10.2008 в 17:46)
 

Попробуйте подобным образом "обмануть" вставку JS кода. Невалидный HTML код не будет работать на странице, поэтому я что-то не представляю как можно обмануть.

  Ответить  
 
 автор: Незнайка   (28.10.2008 в 20:48)   письмо автору
 
   для: sim5   (28.10.2008 в 17:57)
 

Хм... Что-то я так и не понял, что авторы книги имели ввиду? :)

  Ответить  
 
 автор: AcidTrash   (28.10.2008 в 21:34)   письмо автору
 
   для: Незнайка   (28.10.2008 в 20:48)
 

>Что-то я так и не понял, что авторы книги имели ввиду? :)
Какой книги? И контекст из книги приведите.

  Ответить  
 
 автор: Незнайка   (29.10.2008 в 14:29)   письмо автору
129.1 Кб
 
   для: AcidTrash   (28.10.2008 в 21:34)
 

>Какой книги?
Название книги и авторы выше.

>И контекст из книги приведите
Приложил файл 1. ------------------------------------------------------->

  Ответить  
 
 автор: Незнайка   (29.10.2008 в 14:32)   письмо автору
123.9 Кб
 
   для: AcidTrash   (28.10.2008 в 21:34)
 

Продолжение, файл 2. ------------------------------------>

  Ответить  
 
 автор: sim5   (29.10.2008 в 14:34)   письмо автору
 
   для: Незнайка   (29.10.2008 в 14:32)
 

Кроме "Замечания" ничего )

  Ответить  
 
 автор: sl1p   (28.10.2008 в 21:40)   письмо автору
 
   для: sim5   (28.10.2008 в 17:57)
 

не знаю как оно их удаляет, а что если так например:))

$s = "< a hr<br>ef=\"asd\">TEST< /<br>a>";

оно ж думаю <br> удалит а остальное не увидит:)
--
мда, кривая функция.. удаляет вообще всё между "<>"..

  Ответить  
 
 автор: sim5   (29.10.2008 в 03:21)   письмо автору
 
   для: sl1p   (28.10.2008 в 21:40)
 

А вы просто напишите, не вырезая ничего:
<a hr<br>ef=\"asd\">TEST</<br>a>
и у вас таки ссылка сработает?

  Ответить  
 
 автор: sl1p   (29.10.2008 в 06:55)   письмо автору
 
   для: sim5   (29.10.2008 в 03:21)
 

ну а зачем мне так писать если я например знаю что это никак не обработается)

  Ответить  
 
 автор: sim5   (29.10.2008 в 07:08)   письмо автору
 
   для: sl1p   (29.10.2008 в 06:55)
 

Ну тем не менее вы пишите.

  Ответить  
 
 автор: sl1p   (29.10.2008 в 08:15)   письмо автору
 
   для: sim5   (29.10.2008 в 07:08)
 

омг, я написал это в качестве примера как можно обмануть функцию выше.. причём тут пишу я или нет.. не догнал еси честно) ну да ладно.

  Ответить  
 
 автор: sim5   (29.10.2008 в 08:18)   письмо автору
 
   для: sl1p   (29.10.2008 в 08:15)
 

Обмануть, значит "воткнуть" чтобы работало. То что написали вы, это просто бред, ну или мягко говоря, мусор на странице, но таковой можно и без всяких тегов напихать.

  Ответить  
 
 автор: sl1p   (29.10.2008 в 08:45)   письмо автору
 
   для: sim5   (29.10.2008 в 08:18)
 

Ну я думал функция знает что удаляет, если бы именно хтмл теги то ссылки не увидела бы наверное.
А так удаляет что попадётся между <>..

Поэтому бред. Я писал до того как проверить, если вчитаться - там можно заметить ;)

  Ответить  
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования