Autor | Zpráva | ||
---|---|---|---|
Senky Profil |
#1 · Zasláno: 27. 3. 2009, 21:57:52
Dobry den, vytvoril som si chat v ktorom sice uzivatelia nemozu napisat html kod, lebo by im to vzmazalo (strip_tags), avsak rozmyslal som ze keby napisali nejaky php kod, napriklad unlink na nejaky subor s chmod 777 zmazal by sa? Alebo keby napisal echo ..., vypisalo by to? Alebo ako ta ochrana vlastne funguje?
|
||
yFang Profil |
#2 · Zasláno: 27. 3. 2009, 22:09:56
Senky
Záleží na tom, jak vypadá PHP kód toho chatu. |
||
Tomashek Profil |
#3 · Zasláno: 27. 3. 2009, 22:15:19
Jestli vkládáte záznamy do databáze, tak se to automaticky uloží jako text.
|
||
Senky Profil |
#4 · Zasláno: 27. 3. 2009, 22:15:44 · Upravil/a: Senky
No vypisovanie spravy je z databazy a vyzera nejako takto:
while a blablabla...(***){ ... echo strip_tags($zaznam["sprava"]); ... } Cize ak je to z databazy tak je to bezpecne? Uf tak to mi odlahlo, dakujem... |
||
AM_ Profil |
#5 · Zasláno: 27. 3. 2009, 22:35:01
Pokud ten text, co uživatel napíše, neprovedeš pomocí inkuze nebo funkce eval(), což je hloupost, pracuje se s ním jako textem, ne kódem. Btw, místo strip_tags se v těchto případech používá htmlentities - výsledek? v dokumentu se zobrazí přesně to, co uživatel napsal, takže když napíše <b>ahoj</b>, zobrazí se <b>ahoj</b>, takže ani ahoj, ani ahoj.
|
||
Senky Profil |
#6 · Zasláno: 27. 3. 2009, 22:37:42
No ale ja toto presne nechcem, chcem aby ked niekto napise nieco v html, sa mu to vymazalo, takze tam ostane iba cisty text, cize preto nepouzivam htmlentities ale strip_tags...ale dakujem za odpoved, aspon sm pochopil k comu sluzi htmlentities...
|
||
Časová prodleva: 15 let
|
0