Problem z zakazanymi znakami HTML w komentarzach Opcje

[free]

Korzystając z funkcjihtmlspecialchars" title="Zobacz w manualu php" target="_manual

[PHP] pobierz, plaintext 
<?php
$tytul=htmlspecialchars($_POST['tytul']);
$txt=nl2br(htmlspecialchars($_POST['tresc']));
?>
[PHP] pobierz, plaintext 

Zabraniam userom uzywania znaków HTML w komentarzach.
Funkcja nl2br łamie mi ładnie linie i user nie musi uzywac <br />
Jednak podczas edycji danych po uzyciu funkcji htmlspecialchars Zamiast wstawionego przez system nowego wiersza pojawia sie komenda <br />. Jak temu zaradzic?
Najprosceij byloby w edycji komentarzy zrezygnowac z tej funkcji htmlspecialchars, tyle ze wówczas zlikwidowalbym z zapory przed niepowolanym kodem HTML.

[mike]

Bo tego nie zapisuje się do bazy danych w zmienionej postaci.
Funkcje, które pozwalaja iciec od tych znaków stosuje sie tylko podczas wyświetlania.

[free]

Wiec do bazy mam zapisywac wszystko a dopiero przy pobieraniu dancyh z bazy i wyswietlaniu mam zastosowac tę funkcję ?Brzmi logicznie ale czy to aby bezpieczne ?

Ten post edytował free 10.10.2006, 13:29:43

[mike]

1. Użytkownik wpisuje coś do formularza.
2. Zapisujesz to do bazy, bez ingerencji żadnymi funkcjami typu htmlspecialchars(). (pomijam problem SQL Injection)
3. Przy wyświetlaniu tego co pobierasz z bazy juz stosujesz htmlspecialchars()
4. Kiedy edytujesz to przecież też wyświetlasz więc patrz pkt. 3.
5. Po edycji zapisujesz do bazy, patrz pkt. 1

Brzmi logicznie ale czy to aby bezpieczne ?

Chyba nie martwisz się że ktoś Ci za pomoce JavaScriptu rozwali bazę

[free]

Sprawdziłem przed chwilą na serwerze i działa OK :-)
Dzieki za podpowiedź !

PS
Jak sie ma sprawa z problem SQL Injection /bo wlasnie to mialem pierwotnie na mysli/

Ten post edytował free 10.10.2006, 13:42:52