HTMLSpecialChars

scooter

سلام من وقتی اطلاعات رو از فرم میگیرم از این تابع استفاده میکنم به این صورت

کد پی‌اچ‌پی:
$uall=@htmlspecialchars($_POST["uall"]); 

حالا وقتی یه کد جاوا اسکریپت وارد فرم می کنم کد رو اضافه می کنه ولی یه تگ >p< به اول و آخرش اضافه میکنه .آیا با این شرایط این تابع داره درست عمل میکنه ؟

**molana** · ۱۳۸۷ دى ۲۸, ۰۹:۱۶ ب.ظ

از کدوم ادیتور استفاده می کنی؟

scooter · ۱۳۸۷ دى ۲۹, ۰۲:۵۲ ق.ظ

tiny mce

**molana** · ۱۳۸۷ دى ۲۹, ۰۱:۰۷ ب.ظ

اکثر ادیتور ها این کار رو می کنن.
به نظر من وقتی داری محتویات رو از توی یه ادیتور مثب tinymce می گیری از این توابع استفاده نکن
چون اونها خودشون تمامی موارد امنیتی رو رعایت می کنن.

خیالت تخت...

scooter · ۱۳۸۷ دى ۲۹, ۰۲:۴۱ ب.ظ

درود
آخه مولانا جان بدون این تابع کد جاوا اسکریپت رو صحیح و سالم اضافه می کنم .الان که توجه می کنم می بینم این تابع یه سری کاراکتر به تگ ها اضافه می کنه تا تگ اعتبار خودش رو از دست بده

**molana** · ۱۳۸۷ دى ۲۹, ۰۵:۰۶ ب.ظ

ادیتور ها همشون تگ های اضافی رو به کاراکتر های ویژه تبدیل می کنن.
برای همین در این مورد نیازی به استفاده از این توابع وجود نداره.

شاید هم اطلاعات من کافی نیست
دوستان حرفه ای تر می تونن بهتر پاسخگو باشن

وحید کجایی؟؟؟؟؟؟؟؟

**admin** · ۱۳۸۷ دى ۲۹, ۰۵:۳۴ ب.ظ

(۱۳۸۷ دى ۲۹, ۰۵:۰۶ ب.ظ)molana نوشته: ادیتور ها همشون تگ های اضافی رو به کاراکتر های ویژه تبدیل می کنن.
برای همین در این مورد نیازی به استفاده از این توابع وجود نداره.

شاید هم اطلاعات من کافی نیست
دوستان حرفه ای تر می تونن بهتر پاسخگو باشن

وحید کجایی؟؟؟؟؟؟؟؟

من اینجا
ببینید بستگی داره. اگه قراره از یه ادیتور استفاده کنید که می خوایید کاربر اطلاعات رو به صورت html وارد کنه دیگه چرا می خوایید جلوی وارد کردن html رو بگیرید؟
مگر اینکه بخوایید جلوی بعضی از حملات xss رو بگیرید. برای اینکار هم می تونید از کلاس http://wwww.phpclasses.org/browse/package/2189.html استفاده کنید
یا اینکه بخوایید کاربر فقط بعضی از تگها رو وارد کنه که دیگه باید از ادیتورهایی که bbcode رو تولید می کنن استفاده کنید و بعد توی php با توابعی bbocode رو تبدیل کنید. دقیقا همین کاری که الان توی این ادیتور که من دارم می نویسم اتفاق می افته

scooter · ۱۳۸۷ دى ۳۰, ۰۲:۲۳ ق.ظ

درود/حالا مولانا جان توضیح دادن که برای tiny mce نیازی نیست ولی برای فرمهای معمولی چی ؟
من برای فرم هام که استفاده می کنم .عینا تگها رو وارد db میکنه
نمیدونم شاید نوشتن من مشکل داره

**molana** · ۱۳۸۷ دى ۳۰, ۰۲:۳۳ ق.ظ

یعنی چی تو فرم های معمولی.
اگه منظورت تکست اریا هستی که خوب بله.
دقیقا همون رو وراد می کنه.
شما باید فیلتر کنید
اول اینکه سعی کن با گوگل دوست بشی :
http://www.google.com/search?hl=en&clien...hp&spell=1

دوم هم اینکه به این لینک ها یه نگاهی بنداز:
http://ir.php.net/htmlentities
http://www.seopher.com/articles/html_cha..._made_easy
http://ir.php.net/mysql_real_escape_string
http://www.brainbell.com/tutors/php/php_...cters.html

scooter · ۱۳۸۷ دى ۳۰, ۰۴:۴۸ ب.ظ

سلام و ممنون
اما من در موقع دریافت اطلاعات از توابعی مث get_magic_quotes_gpc و یا addslashes استفاده می کنم و ورودی رو فیلتر می کنم .ایا باز هم نیاز به فیلتر کردن html special به صورت جدا گانه هست یا همین ها کافیه

ورود




مرا به‌خاطر بسپار. فراموشی رمزعبور