Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [php + html]formularze
Forum PHP.pl > Forum > Przedszkole
hinduseek
1.05.2006, 13:56:11
witam, tworze skrypt php komentarzy, jednak nie udaje mi sie zabezpieczyc przed komentarzami typu </div> i innych takiego typu co np. zamyka taki i strona sie rozlatuje. Mam skrypt:

Kod:
[PHP] pobierz, plaintext 
  1. <?php
  2. include_once("funkcje.php");
  3. $nick=addslashes(htmlentities($_POST['nick']));
  4. $tresc=addslashes(nl2br(htmlentities ($_POST['tresc'])));
  5. if($nick && $tresc)
  6. { //jeśli jest wypelniony formulaz
  7. $zapytanie="INSERT INTO komentarze VALUES ('','".$_GET[nr]."','".$_POST{tresc}."', '".$_POST{nick}."','".date("Y-m-j")."')";
  8. $wynik=query($zapytanie);
  9. if($wynik)
  10. {
  11. $_POST[nick]="";
  12. }
  13. }
  14. ?>
[PHP] pobierz, plaintext

i formularz

Kod:
[PHP] pobierz, plaintext 
  1. <FORM METHOD="POST" action="index.php?go=art&nr=<?php echo $_GET[nr]; ?>" name=box>
  2. Nick:<br/>
  3. <INPUT type="TEXT" value="<? print $nick ?>" class="form" NAME="nick"><br/>
  4. Treść:<br/><TEXTAREA NAME="tresc" value="<? print $tresc ?>" class="form" COLS="38" ROWS="5"></TEXTAREA><br/>
  5. <INPUT class="form" type="SUBMIT" value="Dodaj komentarz"></form>
[PHP] pobierz, plaintext


dane do bazy sa wysylane, ale w zadnym wypadku nie filtrowane i wszelkie tagi htmlowskie przechodza. Siedze juz 2 dzien i nie moge sobie z tym poradzic. Byc moze, ze filozofem w php nie jestem Ma ktos jakies pomysly?

poprawiam
---
nospor
pEbE
1.05.2006, 13:58:00
htmlspecialchars()" title="Zobacz w manualu php" target="_manual
strip_tags()" title="Zobacz w manualu php" target="_manual
hinduseek
1.05.2006, 15:47:24
no jakos mi to nei wychodzi :/
kosheen2k
2.05.2006, 10:37:01
ja bym proponował to tak zapisać:

[PHP] pobierz, plaintext 
  1. <?php
  2. include_once("funkcje.php");
  3. $nick=addslashes(htmlentities($_POST['nick']));
  4. $tresc=addslashes(nl2br(htmlentities ($_POST['tresc'])));
  5. if($nick && $tresc)
  6. { //je&para;li jest wypelniony formularz
  7. $zapytanie="INSERT INTO komentarze VALUES ('','".$_GET[nr]."','".$_POST{strip_tags(tresc)}."', '".$_POST{nick}."','".date("Y-m-j")."')";
  8. $wynik=query($zapytanie);
  9. if($wynik)
  10. {
  11. $_POST[nick]="";
  12. }
  13. }
  14. ?>
[PHP] pobierz, plaintext


nie wiem czy dziala prawidlowo bo nie mam jak sprawdzic, na obecna chwile...
Pozdrawiam napisz do mnie na GG (masz w profilu napisany)
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.