[PHP]kod w komentarzu Opcje

[kto$]

Czy możecie podac jakieś źródła na ten temat, bo sam nie znalazłem.
Chodzi mi o dodawanie kodu, np: <?php echo "witaj świecie" ?> jako komentarza.

Sam system komentarzy rozwiązałem w ten sposób:

[PHP] pobierz, plaintext 
         $dodaj="insert into comment values ('' ,'".addslashes($autor)."','".addslashes($tekst)."','".$ciag."','".$data."')";
         $umiesc = $db->query($dodaj);
[PHP] pobierz, plaintext 

gdzie $tekst jest zmienną do komentarza.


Wyświetlanie w ten:

[PHP] pobierz, plaintext 
        $wiersz=$wynik->fetch_assoc();
        echo ($i+2).". Napisany przez: ".$wiersz['autor'].", o czasie: ".$wiersz['czas_dodania'].". Treśc komentarza:<br /><br />".addslashes($wiersz['komentarz'])."<br />";
[PHP] pobierz, plaintext 

Wszystko ładnie pobiera, wczytuje komentarze itd. Problem się pojawia jak w komentarzu napiszę linijkę z początku postu. W bazie jest zapisany dobrze, natomiast przy wyświetleniu commenta pozostaje tylko czyste pole.

Dzięki za pomoc

Ten post edytował kto$ 18.11.2010, 12:04:26

[nospor]

przy wyswietlaniu uzyj htmlspecialchars()

[phpion]

Po pierwsze: daruj sobie takie rozwiązanie! Jest to bardzo niebezpieczne.
Po drugie: zapewne w źródle strony kod się wyświetla, ale < traktowane jest przez przeglądarkę jako rozpoczęcie znacznika HTML. Do wykonania kodu użyj eval, ale -> patrz punkt nr 1.

@up:
Aj, źle zrozumiałem (IMG:style_emoticons/default/tongue.gif)

Ten post edytował phpion 18.11.2010, 12:08:19

[kto$]

nospor: Dzięki, pomogło

phppion: W ramach ciekawości, mógłbyś dokładniej opisac, dlaczego takie rozwiązanie jest niebezpieczne, ewentualnie skierowac mnie na jakiegoś arta?

Pozdrawiam

[phpion]

phppion: W ramach ciekawości, mógłbyś dokładniej opisac, dlaczego takie rozwiązanie jest niebezpieczne, ewentualnie skierowac mnie na jakiegoś arta?

Mój błąd. Myślałem, że chcesz wykonać kod zawarty w komentarzu, a to byłoby dość ryzykowne.