Diskuse JPW: Vložení HTML kódu do databáze pomocí PHP

	Autor	Zpráva
	Ejdm7 Profil *	#1 · Zasláno: 9. 7. 2015, 18:48:45 Odpovědět Citovat Ahoj, nepodařilo se mi to nikde najít. Jak vložit do databáze HTML kód pomocí `mysql_query` tak, aby se potom při výběru vypsal do souboru jako html kód, vkládám odkaz. mysql_query("INSERT into linky (link) VALUES ('<a href="cil_odkazu.php">Odkaz</a>')"); Při vypsaní mysql_erroru tam vadí uvozovky u href v odkazu, ale nevím jak je odstranit. Díky, Adam
	smiesek Profil	#2 · Zasláno: 9. 7. 2015, 19:03:13 · Upravil/a: smiesek o 2 minuty později Odpovědět Citovat Ejdm7: já když jsem tvořila něco podobného na odkazy, tak jsem to vkládala jako text a následně to zobrazila jako HTML do proměnné `$http` se vloží `seznam.cz` vypíše se <a href="http://www.'. $http .'">'. $http .'</a>
	Ejdm7 Profil *	#3 · Zasláno: 9. 7. 2015, 19:10:30 Odpovědět Citovat To jo, ale ty uvozovky kolem adresy odkazu se PHP nelíbí. Řekl bych, že to "zastaví příkaz insert".
	smiesek Profil	#4 · Zasláno: 9. 7. 2015, 19:12:59 Odpovědět Citovat Ejdm7: myslíte tohle? <a href=\"http://www.'. $http .'\">'. $http .'</a>
	Marti_n Profil	#5 · Zasláno: 9. 7. 2015, 19:50:46 Odpovědět Citovat Ejdm7: Nestačí si ukladať len url cesty linku a následne pri vypísaný k nim pridať html tagy?
	Prochy Profil	#6 · Zasláno: 9. 7. 2015, 20:15:18 · Upravil/a: Prochy o okamžik později Odpovědět Citovat Problém je, že ty uvozovky nejsou escapovaný, musíš to napsat následovně: mysql_query("INSERT into linky (link) VALUES ('<a href=\"cil_odkazu.php\">Odkaz</a>')");
	Ejdm7 Profil *	#7 · Zasláno: 9. 7. 2015, 20:29:41 Odpovědět Citovat Prochy, smiesek: Díky. Mám ještě jeden případ -> Vkládám iframe (video z youtube) přes formulář, který nevyplňuju já. Je nějaká možnost toto obejít, abych nemusel každého uživatele nutit escapovat uvozovky?
	Dan Charousek Profil	#8 · Zasláno: 9. 7. 2015, 20:34:22 Odpovědět Citovat Ejdm7: http://php.net/manual/en/function.mysql-real-escape-string.php
	Ejdm7 Profil *	#9 · Zasláno: 9. 7. 2015, 20:38:41 Odpovědět Citovat Dan Charousek: Zrovna jsem chtěl napsat, že už jsem úspěšně našel a s mysql_real_escape_string úspěšně vyřešil. Díky.
	Keeehi Profil	#10 · Zasláno: 9. 7. 2015, 21:52:33 Odpovědět Citovat Ejdm7: Řád bych poznamenal, že to není možnost ale nutnost! Protože jinak necháváš možnost se komukoliv nabourat do databáze. Druhá věc je to, že když skrz tento formulář dovolíš lidem vkládat HTML do stránky, tak umožňuješ zase jiný typ útoku. Tentokrát perzistentní XSS. Což při špatně zabezpečené session může vést k ukradení administrátorského účtu nebo mnoha jiným věcem.
		Časová prodleva: 9 let

Vaše odpověď

Mohlo by se hodit