PHP.EE FOORUM   
Nimi:   Pass:   Mäleta mind! 
   Teemad | php.ee esilehele | registreeri | Märgi kõik teemad loetuks | #php.ee Skype vestlus | RSS
UUS TEEMA  OTSI  Lehekülgi: 1
Scriptimis võimaluse eemaldamine
Postitaja: Script 2015-05-12 08:45:09
Tere,

Sooviksin, et saaks kinni keerata scriptimis võimaluse. Kui nt on hindamise väli, keegi sisestab <h1>TEKST</h1> mõjutab see ka pärast echomist. see oleks vaja kinni keerata. Kellegil ideid, mis kood, kuhu, kuidas?
RE: Scriptimis võimaluse eemaldamine
Postitaja: asdasdasd 2015-05-12 10:24:57
mõned vihjed millega läbi võiks sisendi käia kõige lihtsama lahenduse jaoks.

http://php.net/htmlentities
https://php.net/strip_tags
http://php.net/htmlspecialchars

RE: Scriptimis võimaluse eemaldamine
Postitaja: blaa 2015-05-12 13:53:37
htmlspecialchars ja ainult vahetult enne välja echomist. Andmebaasi pane nii, nagu sisestati.
RE: Scriptimis võimaluse eemaldamine
Postitaja: awaww 2015-05-12 14:37:27
pole just parim lahendus.
parem on siiski kõik puhastada, muidu pannakse igasugu .js, topelt \r\n ja ne...
soovi korral saab lisada sisestamisel mingid ettemääratud formatingud nagu bold või underline või uppercase...
jäta alles vajadusel üks \r\n või asendada seda paragraafiga
RE: Scriptimis võimaluse eemaldamine
Postitaja: blaa 2015-05-12 14:57:12
milleks puhastada? tekitad rohkem probleeme.
Kui ma tahan, et kuvataks nii nagu ma sisestan, siis peale puhastamist oleks perse majas.
bb-kood on eraldi teema, aga ka siis tuleb andmebaasi sisestada täpselt nii, nagu klient sisestas. Väljastamisel teha vajalikud asendamised.

Reavahetusega tegeleb väljastamisel nl2br()
RE: Scriptimis võimaluse eemaldamine
Postitaja: awawa 2015-05-12 17:58:31
ilma on aga perse aB's ja turvalisuse augud, ei tohi lasta rahval sisestada kõike mis neile pähe tuleb
lisaks, mõni hoster paneb juba vaikimisi AB's mõned triggerid tabelitele, mis võivad keelata teatud sümbolite/stringide kirjutamist, nii et tahta ju võib....
RE: Scriptimis võimaluse eemaldamine
Postitaja: blaa 2015-05-13 14:27:57
Ära aja jama, selle jutu järgi võiks oletada, et isegi binaarandmeid(faile) ei saa andmebaasi sisestada, sest mingi triger tõenäoliselt corruptib selle ära.
Olen teinud väga suurt külastatavat portaali, kus mysql_real_escape_string() oli kõik, mida vaja. Keegi ei ole häkkinud ära midagi. Nüüd minnakse prepared statments teed, aga seda ka ainult selle pärast, et äkki keegi kuskil unustab escape teha.
Küsimus on ainult selles, kuidas andmeid korrektselt väljastada.

Ma ei kujuta praegu ette, kuidas see foorum siin saaks eksisteerida, kui ta kõik < script > < a > < input > tagid ära sööks.
RE: Scriptimis võimaluse eemaldamine
Postitaja: rtfm 2015-05-13 22:25:04
RE: Scriptimis võimaluse eemaldamine
Postitaja: Arvi V 2015-05-22 13:44:04
Selle jaoks on oma libra, mis toimib päris hästi.
http://htmlpurifier.org/

Leheküljed: 1

©2002-2013 Martin Rebane & PHP.ee kaasautorid
  0.0803940296173