[JavaScript][PHP]Filtrowanie pobrnych danych htmlspecialchars()

[JavaScript][PHP]Filtrowanie pobrnych danych htmlspecialchars()

q3d Zobacz profil	6.03.2019, 11:42:44 Post #1
Grupa: Zarejestrowani Postów: 98 Pomógł: 7 Dołączył: 10.01.2006 Ostrzeżenie: (0%)	Pobieram z bazy dane. Część z nich to np. wartości atrybutów HTML. Czy one również mają być filtrowane htmlspecialchars();? [PHP] pobierz, plaintext <p class="'.htmlspecialchars($config['class']).'">'.htmlspecialchars($content).'</p> [PHP] pobierz, plaintext Gdy próbowałem: [PHP] pobierz, plaintext $config['class'] = '<script>alert()</script>'; <p class="'.$config['class'].'">...</p> [PHP] pobierz, plaintext to skrypt JS się nie wykonuje.

Odpowiedzi

q3d Zobacz profil	6.03.2019, 13:05:55 Post #2
Grupa: Zarejestrowani Postów: 98 Pomógł: 7 Dołączył: 10.01.2006 Ostrzeżenie: (0%)	Czy dobrze rozumiem? Jeżeli mam pewność, że dane znajdą się wewnątrz podwójnego cudzysłowu: class="'.$class.'" to mogę używać escapeHtml() z tej klasy. Natomiast jeżeli nie mam takiej pewności powinienem używać: escapeHtmlAttr()? Natomiast filtrować wyprowadzana dane należy zawsze niezależnie od tego czy wartość atrybutu jest w podwójnym, pojedynczym czy bez cudzysłowu?

Posty w temacie

q3d [JavaScript][PHP]Filtrowanie pobrnych danych htmlspecialchars() 6.03.2019, 11:42:44

viking Poczytaj sobie https://docs.zendframework.com/zend... 6.03.2019, 11:58:21

q3d Czy dobrze rozumiem? Jeżeli mam pewność, że dane ... 6.03.2019, 13:05:55

nospor WYbacz, ze troche nie na temat moze, ale jak widze... 6.03.2019, 13:12:31

q3d Cytat(nospor @ 6.03.2019, 13:12:31 ) ... 6.03.2019, 14:29:30

viking escapeHtmlAttr zawiera ściślejsze reguły usuwania ... 6.03.2019, 13:26:29

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 11.10.2025 - 00:04

Hosting zapewnia

Forum PHP.pl