[scooter]

سلام من وقتی اطلاعات رو از فرم میگیرم از این تابع استفاده میکنم به این صورت

کد PHP:

$uall=@htmlspecialchars($_POST["uall"]); 


حالا وقتی یه کد جاوا اسکریپت وارد فرم می کنم کد رو اضافه می کنه ولی یه تگ >p< به اول و آخرش اضافه میکنه .آیا با این شرایط این تابع داره درست عمل میکنه ؟

[molana]

از کدوم ادیتور استفاده می کنی؟

[scooter]

tiny mce

[molana]

اکثر ادیتور ها این کار رو می کنن.
به نظر من وقتی داری محتویات رو از توی یه ادیتور مثب tinymce می گیری از این توابع استفاده نکن
چون اونها خودشون تمامی موارد امنیتی رو رعایت می کنن.

خیالت تخت...

[scooter]

درود
آخه مولانا جان بدون این تابع کد جاوا اسکریپت رو صحیح و سالم اضافه می کنم .الان که توجه می کنم می بینم این تابع یه سری کاراکتر به تگ ها اضافه می کنه تا تگ اعتبار خودش رو از دست بده

[molana]

ادیتور ها همشون تگ های اضافی رو به کاراکتر های ویژه تبدیل می کنن.
برای همین در این مورد نیازی به استفاده از این توابع وجود نداره.

شاید هم اطلاعات من کافی نیست
دوستان حرفه ای تر می تونن بهتر پاسخگو باشن

وحید کجایی؟؟؟؟؟؟؟؟

[admin]

(۱۳۸۷ دي ۲۹ ۰۴:۰۶ عصر)molana نوشته شده توسط:  ادیتور ها همشون تگ های اضافی رو به کاراکتر های ویژه تبدیل می کنن.
برای همین در این مورد نیازی به استفاده از این توابع وجود نداره.

شاید هم اطلاعات من کافی نیست
دوستان حرفه ای تر می تونن بهتر پاسخگو باشن

وحید کجایی؟؟؟؟؟؟؟؟

من اینجا
ببینید بستگی داره. اگه قراره از یه ادیتور استفاده کنید که می خوایید کاربر اطلاعات رو به صورت html وارد کنه دیگه چرا می خوایید جلوی وارد کردن html رو بگیرید؟
مگر اینکه بخوایید جلوی بعضی از حملات xss رو بگیرید. برای اینکار هم می تونید از کلاس http://wwww.phpclasses.org/browse/package/2189.html استفاده کنید
یا اینکه بخوایید کاربر فقط بعضی از تگها رو وارد کنه که دیگه باید از ادیتورهایی که bbcode رو تولید می کنن استفاده کنید و بعد توی php با توابعی bbocode رو تبدیل کنید. دقیقا همین کاری که الان توی این ادیتور که من دارم می نویسم اتفاق می افته

[scooter]

درود/حالا مولانا جان توضیح دادن که برای tiny mce نیازی نیست ولی برای فرمهای معمولی چی ؟
من برای فرم هام که استفاده می کنم .عینا تگها رو وارد db میکنه
نمیدونم شاید نوشتن من مشکل داره

[molana]

یعنی چی تو فرم های معمولی.
اگه منظورت تکست اریا هستی که خوب بله.
دقیقا همون رو وراد می کنه.
شما باید فیلتر کنید
اول اینکه سعی کن با گوگل دوست بشی :
http://www.google.com/search?hl=en&clien...hp&spell=1

دوم هم اینکه به این لینک ها یه نگاهی بنداز:
http://ir.php.net/htmlentities
http://www.seopher.com/articles/html_cha..._made_easy
http://ir.php.net/mysql_real_escape_string
http://www.brainbell.com/tutors/php/php_...cters.html

[scooter]

سلام و ممنون
اما من در موقع دریافت اطلاعات از توابعی مث get_magic_quotes_gpc و یا addslashes استفاده می کنم و ورودی رو فیلتر می کنم .ایا باز هم نیاز به فیلتر کردن html special به صورت جدا گانه هست یا همین ها کافیه