Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [JavaScript][PHP]Filtrowanie pobrnych danych htmlspecialchars()
q3d
post
Post #1





Grupa: Zarejestrowani
Postów: 98
Pomógł: 7
Dołączył: 10.01.2006

Ostrzeżenie: (0%)
-----


Pobieram z bazy dane. Część z nich to np. wartości atrybutów HTML. Czy one również mają być filtrowane htmlspecialchars();?

  1. <p class="'.htmlspecialchars($config['class']).'">'.htmlspecialchars($content).'</p>


Gdy próbowałem:

  1. $config['class'] = '<script>alert()</script>';
  2.  
  3. <p class="'.$config['class'].'">...</p>


to skrypt JS się nie wykonuje.
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
viking
post
Post #2





Grupa: Zarejestrowani
Postów: 6 381
Pomógł: 1116
Dołączył: 30.08.2006

Ostrzeżenie: (0%)
-----


escapeHtmlAttr zawiera ściślejsze reguły usuwania znaków i dotyczy atrybutów. Nie bardzo rozumiem jak do takiego wniosku doszedłeś. Nazwy metod jasno mówią gdzie je należy wykorzystywać. Oczywiście to tylko przykład, możesz swoje rozwiązanie zaimplementować, ale dobrze wyjaśnia gdzie leży problem. Dla atrybutów w cudzysłowach powinno być
  1. htmlspecialchars($url, ENT_QUOTES | ENT_SUBSTITUTE, 'utf-8')
Wszystko co pochodzi od użytkownika ma być bezwzględnie filtrowane i weryfikowane.
Go to the top of the page
+Quote Post

Posty w temacie


Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 9.10.2025 - 12:58