Autor Zpráva
Mastodont
Profil
Testuji si formuláře v UTF8 stránce a podle chytrých knih zkouším, jak by mi úskočný hacker mohl propašovat něco do db. Třeba tag SCRIPT zapsaný normálním způsobem s < > funguje správně - čili to bych při kontrole inputu vyhodil. Ale pak se v chytrých knihách píše o tom, že < > se dá zapisovat i alternativně třeba jako & # 60; nebo jako & # x 003C; a že si na to člověk má dávat pozor a filtrovat to taky. Jenže u mne se při takovém zápisu potom celý tag script vypíše do stránky jako obyčejný text, čili to nefunguje.

Tak má se to nebo nemá kontrolovat? Jsem z toho voľajaký zmätený.
thingwath
Profil
Ne, není třeba to kontrolovat, v XML či HTML platí znak < > (60, 62), jiné ne, alternativní okecávací zápisy nemají žádný význam (pokud by je ovšem něco nepřevádělo na < >, ale proč by to dělalo?).
Toto téma je uzamčeno. Odpověď nelze zaslat.