Pełna wersja: [JavaScript][HTML][PHP]Zabezpieczeni
W jaki sposób najlepiej zabezpieczyć pola input przed wpisywaniem kodów html czy też java script?
A po co chcesz zabezpieczać pola przed wpisywaniem czegokolwiek? Nie lepiej zabezpieczyć wyjście przed interpretowaniem tego kodu?
htmlspecialchars() wystarczy?
strip_tags
Pyton, ja jestem przeciwnikiem JAKIEJKOLWIEK ingerencji w treść od użytkownika, oczywiście poza cenzurą. Dlaczego mamy zakazać komuś napisać np. <LOL> albo "Lubię tag <script>!"?
Tak, htmlspecialchars to dobry wybór i wystarczy. Zalecam użyć tego dopiero przy wyświetlaniu, a nie zapisywaniu.
Tak, htmlspecialchars to dobry wybór i wystarczy. Zalecam użyć tego dopiero przy wyświetlaniu, a nie zapisywaniu.
ja nie polecam strip_tags, mialem problem z wyslaniem "<3" 
Bo wszystko zalezy od tego, czym dane pole bedzie.
Jak pole ma byc np. loginem, to nie ma sensu pozwalac na tagi i mozna spokojnie uzywac strip_tags przed zapisem do bazy.
Zas gdy pole ma byc wiadomością w czacie (tu uklon do ZaXaZ) to raczej pozwalamy na tagi, bo ludzie chcą czasem podac kod czy durną emotke.
Niezależnie od tego czy uzywamy strip_tags czy nie to htmlspecialchars jest dobrym nawykiem (procz sytuacji, gdy zezwalamy na pelny kod html)
Jak pole ma byc np. loginem, to nie ma sensu pozwalac na tagi i mozna spokojnie uzywac strip_tags przed zapisem do bazy.
Zas gdy pole ma byc wiadomością w czacie (tu uklon do ZaXaZ) to raczej pozwalamy na tagi, bo ludzie chcą czasem podac kod czy durną emotke.
Niezależnie od tego czy uzywamy strip_tags czy nie to htmlspecialchars jest dobrym nawykiem (procz sytuacji, gdy zezwalamy na pelny kod html)
htmlspecialchars lub htmlentities należy używać z flagą ENT_QUOTES.
Nospor, a jaki jest niby sens strip_tags w polu z loginem? Login powinno się najpierw dokładnie przebadać i zakazać dziwnych znaków. A jak ich nie ma (w tym przypadku nawiasów kątowych), to używanie strip_tags nie ma najmniejszego sensu.
No jesli masz porządny walidator to tak, strip_tags nie ma sensu.
Pole login to byl przyklad
Pole login to byl przyklad
Nawet bez walidatora to nie ma sensu. Ktoś wpisuje w polu login wartość "kala<script>fior" to zakładamy, że się pomylił i chodziło mu o "kalafior"?
Tak, jak nie masz walidatora to pozbywasz sie smieci przez strip_tags, bo po grzyba mają sie wpisywac do bazy?
Jak nie masz walidatora loginu to jesteś idiotą, a nie używasz strip_tags.
Jak nie czytasz ze zrozumieniem to jestes idiotą
Poraz kolejny pisze:
LOGIN to byl tylko przyklad. Fakt, moze nieszczesnie dobrany.
Zdarzają sie pola, gdy nie potrzba walidatora, gdyz ogolnie wpuszczamy wszystko. Nie chcemy jednak jako tako tagow, wiec robimy strip_tags oraz robimy htmlspecialchars tak czy siak.
Cytat
No jesli masz porządny walidator to tak, strip_tags nie ma sensu.
Poraz kolejny pisze:
LOGIN to byl tylko przyklad. Fakt, moze nieszczesnie dobrany.
Zdarzają sie pola, gdy nie potrzba walidatora, gdyz ogolnie wpuszczamy wszystko. Nie chcemy jednak jako tako tagow, wiec robimy strip_tags oraz robimy htmlspecialchars tak czy siak.
Cytat(nospor @ 4.08.2014, 15:41:13 ) 
Nie chcemy jednak jako tako tagow
Tylko jakie jest tego logiczne wytłumaczenie? Dlaczego wywalamy komuś z jego wypocin fragmenty między < i >? Dlaczego więc nie wywalamy kodu C++ albo Asemblera?
Funkcja strip_tags nie służy i nigdy nie służyła do oczyszczania wpisów od użytkowników. Służy do WYŁUSKANIA czystego tekstu ze stringa będącego kodem HTML.
Dlaczego? Poniewaz ktos w danym miejscu tak chce. Jego serwis, jego prawo.
Aha.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.