Autor Zpráva
loulie
Profil
Dobrý den, dá se nějak vypnout html a js ve zprávě? Popřípadě povolit jen něco? Celý dotaz rozepíšu:

Návštěvník webu pomocí formuláře napíše třeba tuto zprávu:
<strong>Ahoj</strong> 
stitskne odeslat a zpráva se zapíše do DB. Následně se vypíše na jiné stránce... Dalo by se to nějak zakázat? Že by se tagy strong při zápisu do DB "zničili / vyřadili"?

K čemu mi to je?
Na web mi chodí návštěvník, který do zprávy napíše pomocí JS kód, který začne otevírat další okna mého webu --> Pořád do nekonečna. Nyní už byla jeho IP zabanována pomocí .htaccess, ale čím víc ochran, tím líp...

Děkuji
Chamurappi
Profil
Reaguji na loulie:
ale čím víc ochran, tím líp...
Zabanování IP adresy není vůbec ochrana.

Následně se vypíše na jiné stránce...
Pokud vpisuješ nějaká data dovnitř jiných dat, musíš brát ohledy na syntaktická pravidla cílového formátu. Stejně, jako nedopustíš, aby do SQL dotazu prošel jen tak apostrof ukončující vkládaný řetězec, následovaný sledem zákeřných SQL dotazů, musíš ošetřit i text vkládaný do HTML, aby nedával pisateli kontrolu nad stránkou. To je přeci docela triviální úvaha, ne?

Když chceš napsat menšítka a většítka do HTML kódu tak, aby netvořila HTML značky, uděláš to jak? Tak. A to proveď se zprávou.
blaaablaaa
Profil
Popr. se koukni sem, kde jsem neco podobneho resil.
loulie
Profil
Všem děkuji, juknu na to :-)
Pajionc
Profil *
Možná by to šlo tak že by se na začátek správy přidalo <pre> a na konec </pre> ale dalo by se to hacknout tak že by se na začátek správy napsalo </pre>
Chamurappi
Profil
Reaguji na Pajionce:
Nešlo, element <pre> mění jen zobrazení, kód v něm se interpretuje prakticky stejně jako jinde (až na mezery).

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: