|
|
|
| Всем здрасти!
Для того чтобы исключить возможность применения посетителем HTML-тегов, можно использовать функцию htmlspecialchars(). После чего любые теги будут просто отображены на странице, не интерпретируясь браузером.
А можно ли как-нибудь сделать, чтобы в случае обнаружения HTML-тегов данные не добавлялись (с разъяснением: "HTML-теги запрещены!")?
Чё хранить то "мусор"?.. | |
|
|
|
|
|
|
|
для: Незнайка
(28.10.2008 в 14:24)
| | Можно.
А еще можно, "чтоб не хранить мусор", удалять теги с помощью strip_tags.
Тут уже выбирайте что Вам больше нравится. | |
|
|
|
|
|
|
|
для: ddhvvn
(28.10.2008 в 14:32)
| | >Можно .
А можно, кусочек кода?
Будьте добры... :)
P.S. strip_tags злоумышленник всегда может обмануть, вроде, как? Или я что-то напутал? | |
|
|
|
|
|
|
|
для: Незнайка
(28.10.2008 в 16:32)
| | strip_tags() удаляет сами теги, но не содержимое межу ними! Что значит обмануть? | |
|
|
|
|
|
|
|
для: sim5
(28.10.2008 в 16:39)
| | >> Что значит обмануть?
Да х-то его знает? Я тут прочитал, а понять не могу, куда это относится?
... для решения задачи запрета тегов часто пытаются просто удалить
их из строки - например, применив функцию strip_tags(). Этот метод довольно плох, поскольку всегда сушествует вероятность, что злоумышленник сможет "обмануть" эту функцию.
/PHP5 Д.Котеров, А. Костарев/ | |
|
|
|
|
|
|
|
для: Незнайка
(28.10.2008 в 17:23)
| | Ну, например, пытаемся обмануть так:
$s = "< a href=\"asd\">TEST< /a>";
А теперь выводим:
echo strip_tags($s);
Ссылка будет работать? | |
|
|
|
|
|
|
|
для: sim5
(28.10.2008 в 17:25)
| | Нет. | |
|
|
|
|
|
|
|
для: Незнайка
(28.10.2008 в 17:46)
| | Попробуйте подобным образом "обмануть" вставку JS кода. Невалидный HTML код не будет работать на странице, поэтому я что-то не представляю как можно обмануть. | |
|
|
|
|
|
|
|
для: sim5
(28.10.2008 в 17:57)
| | Хм... Что-то я так и не понял, что авторы книги имели ввиду? :) | |
|
|
|
|
|
|
|
для: Незнайка
(28.10.2008 в 20:48)
| | >Что-то я так и не понял, что авторы книги имели ввиду? :)
Какой книги? И контекст из книги приведите. | |
|
|
|
|
129.1 Кб |
|
|
для: AcidTrash
(28.10.2008 в 21:34)
| | >Какой книги?
Название книги и авторы выше.
>И контекст из книги приведите
Приложил файл 1. -------------------------------------------------------> | |
|
|
|
|
123.9 Кб |
|
|
для: AcidTrash
(28.10.2008 в 21:34)
| | Продолжение, файл 2. ------------------------------------> | |
|
|
|
|
|
|
|
для: Незнайка
(29.10.2008 в 14:32)
| | Кроме "Замечания" ничего ) | |
|
|
|
|
|
|
|
для: sim5
(28.10.2008 в 17:57)
| | не знаю как оно их удаляет, а что если так например:))
$s = "< a hr<br>ef=\"asd\">TEST< /<br>a>";
оно ж думаю <br> удалит а остальное не увидит:)
--
мда, кривая функция.. удаляет вообще всё между "<>".. | |
|
|
|
|
|
|
|
для: sl1p
(28.10.2008 в 21:40)
| | А вы просто напишите, не вырезая ничего:
<a hr<br>ef=\"asd\">TEST</<br>a>
и у вас таки ссылка сработает? | |
|
|
|
|
|
|
|
для: sim5
(29.10.2008 в 03:21)
| | ну а зачем мне так писать если я например знаю что это никак не обработается) | |
|
|
|
|
|
|
|
для: sl1p
(29.10.2008 в 06:55)
| | Ну тем не менее вы пишите. | |
|
|
|
|
|
|
|
для: sim5
(29.10.2008 в 07:08)
| | омг, я написал это в качестве примера как можно обмануть функцию выше.. причём тут пишу я или нет.. не догнал еси честно) ну да ладно. | |
|
|
|
|
|
|
|
для: sl1p
(29.10.2008 в 08:15)
| | Обмануть, значит "воткнуть" чтобы работало. То что написали вы, это просто бред, ну или мягко говоря, мусор на странице, но таковой можно и без всяких тегов напихать. | |
|
|
|
|
|
|
|
для: sim5
(29.10.2008 в 08:18)
| | Ну я думал функция знает что удаляет, если бы именно хтмл теги то ссылки не увидела бы наверное.
А так удаляет что попадётся между <>..
Поэтому бред. Я писал до того как проверить, если вчитаться - там можно заметить ;) | |
|
|
|