• 1 رای - 2 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
HTMLSpecialChars
#1
سلام من وقتی اطلاعات رو از فرم میگیرم از این تابع استفاده میکنم به این صورت
کد پی‌اچ‌پی:
$uall=@htmlspecialchars($_POST["uall"]); 
حالا وقتی یه کد جاوا اسکریپت وارد فرم می کنم کد رو اضافه می کنه ولی یه تگ >p< به اول و آخرش اضافه میکنه .آیا با این شرایط این تابع داره درست عمل میکنه ؟
  پاسخ
تشکر شده توسط :
#2
از کدوم ادیتور استفاده می کنی؟
همه جوره اش رو داریم ظاهرن
  پاسخ
تشکر شده توسط :
#3
tiny mce
  پاسخ
تشکر شده توسط :
#4
اکثر ادیتور ها این کار رو می کنن.
به نظر من وقتی داری محتویات رو از توی یه ادیتور مثب tinymce می گیری از این توابع استفاده نکن
چون اونها خودشون تمامی موارد امنیتی رو رعایت می کنن.

خیالت تخت...
همه جوره اش رو داریم ظاهرن
  پاسخ
تشکر شده توسط :
#5
درود
آخه مولانا جان بدون این تابع کد جاوا اسکریپت رو صحیح و سالم اضافه می کنم .الان که توجه می کنم می بینم این تابع یه سری کاراکتر به تگ ها اضافه می کنه تا تگ اعتبار خودش رو از دست بده
  پاسخ
تشکر شده توسط :
#6
ادیتور ها همشون تگ های اضافی رو به کاراکتر های ویژه تبدیل می کنن.
برای همین در این مورد نیازی به استفاده از این توابع وجود نداره.

شاید هم اطلاعات من کافی نیست
دوستان حرفه ای تر می تونن بهتر پاسخگو باشن

وحید کجایی؟؟؟؟؟؟؟؟
همه جوره اش رو داریم ظاهرن
  پاسخ
تشکر شده توسط :
#7
(۱۳۸۷ دى ۲۹, ۰۵:۰۶ ب.ظ)molana نوشته: ادیتور ها همشون تگ های اضافی رو به کاراکتر های ویژه تبدیل می کنن.
برای همین در این مورد نیازی به استفاده از این توابع وجود نداره.

شاید هم اطلاعات من کافی نیست
دوستان حرفه ای تر می تونن بهتر پاسخگو باشن

وحید کجایی؟؟؟؟؟؟؟؟
من اینجا
ببینید بستگی داره. اگه قراره از یه ادیتور استفاده کنید که می خوایید کاربر اطلاعات رو به صورت html وارد کنه دیگه چرا می خوایید جلوی وارد کردن html رو بگیرید؟
مگر اینکه بخوایید جلوی بعضی از حملات xss رو بگیرید. برای اینکار هم می تونید از کلاس http://wwww.phpclasses.org/browse/package/2189.html استفاده کنید
یا اینکه بخوایید کاربر فقط بعضی از تگها رو وارد کنه که دیگه باید از ادیتورهایی که bbcode رو تولید می کنن استفاده کنید و بعد توی php با توابعی bbocode رو تبدیل کنید. دقیقا همین کاری که الان توی این ادیتور که من دارم می نویسم اتفاق می افته
  پاسخ
تشکر شده توسط :
#8
درود/حالا مولانا جان توضیح دادن که برای tiny mce نیازی نیست ولی برای فرمهای معمولی چی ؟
من برای فرم هام که استفاده می کنم .عینا تگها رو وارد db میکنه
نمیدونم شاید نوشتن من مشکل داره
  پاسخ
تشکر شده توسط :
#9
یعنی چی تو فرم های معمولی.
اگه منظورت تکست اریا هستی که خوب بله.
دقیقا همون رو وراد می کنه.
شما باید فیلتر کنید
اول اینکه سعی کن با گوگل دوست بشی :
http://www.google.com/search?hl=en&clien...hp&spell=1

دوم هم اینکه به این لینک ها یه نگاهی بنداز:
http://ir.php.net/htmlentities
http://www.seopher.com/articles/html_cha..._made_easy
http://ir.php.net/mysql_real_escape_string
http://www.brainbell.com/tutors/php/php_...cters.html
همه جوره اش رو داریم ظاهرن
  پاسخ
تشکر شده توسط :
#10
سلام و ممنون
اما من در موقع دریافت اطلاعات از توابعی مث get_magic_quotes_gpc و یا addslashes استفاده می کنم و ورودی رو فیلتر می کنم .ایا باز هم نیاز به فیلتر کردن html special به صورت جدا گانه هست یا همین ها کافیه
  پاسخ
تشکر شده توسط :


پرش به انجمن:


کاربران در حال بازدید این موضوع: 1 مهمان