| Autor | Zpráva | ||
|---|---|---|---|
| Mastodont Profil |
#1 · Zasláno: 15. 3. 2007, 08:20:59
Testuji si formuláře v UTF8 stránce a podle chytrých knih zkouším, jak by mi úskočný hacker mohl propašovat něco do db. Třeba tag SCRIPT zapsaný normálním způsobem s < > funguje správně - čili to bych při kontrole inputu vyhodil. Ale pak se v chytrých knihách píše o tom, že < > se dá zapisovat i alternativně třeba jako & # 60; nebo jako & # x 003C; a že si na to člověk má dávat pozor a filtrovat to taky. Jenže u mne se při takovém zápisu potom celý tag script vypíše do stránky jako obyčejný text, čili to nefunguje.
Tak má se to nebo nemá kontrolovat? Jsem z toho voľajaký zmätený. |
||
| thingwath Profil |
#2 · Zasláno: 15. 3. 2007, 09:22:04
Ne, není třeba to kontrolovat, v XML či HTML platí znak < > (60, 62), jiné ne, alternativní okecávací zápisy nemají žádný význam (pokud by je ovšem něco nepřevádělo na < >, ale proč by to dělalo?).
|
||
|
Časová prodleva: 17 let
|
|||
Toto téma je uzamčeno. Odpověď nelze zaslat.
0