Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [JavaScript][PHP]Filtrowanie pobrnych danych htmlspecialchars()
q3d
post
Post #1





Grupa: Zarejestrowani
Postów: 98
Pomógł: 7
Dołączył: 10.01.2006

Ostrzeżenie: (0%)
-----

Pobieram z bazy dane. Część z nich to np. wartości atrybutów HTML. Czy one również mają być filtrowane htmlspecialchars();?

[PHP] pobierz, plaintext 
  1. <p class="'.htmlspecialchars($config['class']).'">'.htmlspecialchars($content).'</p>
[PHP] pobierz, plaintext


Gdy próbowałem:

[PHP] pobierz, plaintext 
  1. $config['class'] = '<script>alert()</script>';
  2.  
  3. <p class="'.$config['class'].'">...</p>
[PHP] pobierz, plaintext


to skrypt JS się nie wykonuje.
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
viking
post
Post #2





Grupa: Zarejestrowani
Postów: 6 381
Pomógł: 1116
Dołączył: 30.08.2006

Ostrzeżenie: (0%)
-----

escapeHtmlAttr zawiera ściślejsze reguły usuwania znaków i dotyczy atrybutów. Nie bardzo rozumiem jak do takiego wniosku doszedłeś. Nazwy metod jasno mówią gdzie je należy wykorzystywać. Oczywiście to tylko przykład, możesz swoje rozwiązanie zaimplementować, ale dobrze wyjaśnia gdzie leży problem. Dla atrybutów w cudzysłowach powinno być 
[PHP] pobierz, plaintext 
  1. htmlspecialchars($url, ENT_QUOTES | ENT_SUBSTITUTE, 'utf-8')
[PHP] pobierz, plaintext
Wszystko co pochodzi od użytkownika ma być bezwzględnie filtrowane i weryfikowane.
Go to the top of the page
+Quote Post

Posty w temacie
- q3d   [JavaScript][PHP]Filtrowanie pobrnych danych htmlspecialchars()   6.03.2019, 11:42:44
- - viking   Poczytaj sobie https://docs.zendframework.com/zend...   6.03.2019, 11:58:21
- - q3d   Czy dobrze rozumiem? Jeżeli mam pewność, że dane ...   6.03.2019, 13:05:55
- - nospor   WYbacz, ze troche nie na temat moze, ale jak widze...   6.03.2019, 13:12:31
|- - q3d   Cytat(nospor @ 6.03.2019, 13:12:31 ) ...   6.03.2019, 14:29:30
- - viking   escapeHtmlAttr zawiera ściślejsze reguły usuwania ...   6.03.2019, 13:26:29

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 10.10.2025 - 15:37
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn