Forum PHP.pl

Witam,
potrzebuję umożliwić użytkownikom zapis kodu HTML do bazy,
i następnie jego odczyt na stronie.

Jak to zrobić dobrze i bezpiecznie?

Zacząłem tak:

[PHP] pobierz, plaintext 
function Zapis($tekst) {
 $tekst = mysql_real_escape_string($tekst);
 $tekst = htmlspecialchars($tekst, ENT_QUOTES);
 $tekst = trim($tekst);
 return $tekst;
}
 
function Odczyt($tekst) {
 $tekst = stripslashes($tekst);
 return $tekst;
}
[PHP] pobierz, plaintext 

Zapis chyba mogłby być, ale odczyt?
Jak odczytać zamienione przez htmlspecialchars{} znaczniki
i jak zabezpieczyć się jeśli będzie w kodzie np:
<script type="text/javascript">
// do it
</script>

Po grzyba dajesz htmlspecialchars skoro chcesz pozwalac na html?
Jak chcesz zabezpieczyc kod przez złym kodem html to zainteresuj się klasą HTMLPurifier

No i może pdo w zapytaniach do bazy (IMG:style_emoticons/default/smile.gif)

A jak to się ma do pytania o html w bazie? Równie dobrze napisz jeszcze byż używał dobrego monitora i podkładki pod mysz

edit: specjalnie dla Malinaa:
ten post jest odpowiedzią na post Mackosa (który notabene jest nad moim postem) o treści:
"No i może pdo w zapytaniach do bazy"

nie chcę pdo, ale własne funkcje

PDO w niczym nie rozwiązuje kwestii HTML w bazie, wiec czy bedziesz mial PDO czy wlasne funkcje to nie ma żadnego wpływu na problem jaki tu zadałes. A odpowiedz dostałeś notabene w pierwszym poście

Albo nie rozumię Twojej odpowiedzi, albo nie rozumiesz mojego pytania.
Coś jest nie jasne w pytaniu?

@Malinaa weź przeczytaj cały temat od początku do konca. Cytowany przez ciebie tekst nie jest moim pierwszym postem o którym pisałem. Pierwszy post mojego autorstawa jest zaraz za twoim postem rozpoczynającym temat....
Tekst co zacytowałeś odnośił się do bezsensowego posta Mackosa. Nie umiesz rozróżniać postów w wątku?

No masz racje, nie czytam ze zrozumieniem ;P i wypisuje głupoty, już się nie odzywam - ide na kawe (IMG:style_emoticons/default/biggrin.gif)

Ten post edytował Mackos 13.10.2011, 10:19:44

oki, ślepota komputerowa notabene przeoczylem

Nie dość, że ślepy to jeszcze się naśmiewa z mojego notabene.... gdzie ten guzik od warnów.... a tu mam... +100% (IMG:style_emoticons/default/wink.gif)
@mackos, bo obydwaj się na "Ma" zaczynacie to się można pomylić (IMG:style_emoticons/default/wink.gif)

so good, give me your hand, więc co z moimi funkcjami?

Przecież ci napisałem w moim pierwszym poście. Nadal go nie widzisz? Dobrze, zacytuje ci go jeszcze raz...

Nie po grzyba, htmlspecialchars() zamienia nie tylko znaczniki, ale i cudzyslowia, apostrofy itp., których nie chcialbym w bazie.
Chyba dobrze jest kiedy w bazie mamy np. &quot; zamiast " .
Pytanie jest czy dobrze mieć w bazie np: $lt;table$gt; , czy <table>
i jak pozbyć się nie chcianego kodu typu <script>

Ok, zastanawiało mnie &quot; i " , gdzieś widziałem że znak " był zamieniany na &quot; ale zapewne przy odczycie z bazy znaku " i kiedy HTML był zabroniony. I nadal bym nad tym myślał, ale skoro jest to bez sensu, to uratowałeś moje 4 litery (IMG:style_emoticons/default/smile.gif)
Co do HTMLPurifier to jest monstrum, a ja chciałbym funkcyjkę z mini ochroną (przed nie chcianym kodem, js... i może coś tam jeszcze).
Dziękuje za informacje.