Изпечатай

[PAIN1]

От заглавието не става много ясно, но сега ще обясня.
Искам да импортна документ.Тоест с форма поле в което въвеждам документ, съответно примерно със всичките му тагове <боди> и т.н. .
Много лесно ако реша да го запиша по същия начин по който е въведено.
Но понеже съм срещал в някой си документ за php, който съм чел, че не е хубаво да се записват оригиналните тагове, за да избегнем евентуално попълване на злонамерен код.

Та как да модифицирам и до каква степен въведената информация, че да се освободя от този потенциално зъл код.

Надявам се ме разбрахте, ако не ще се опитам отново да обясня.

[prilep]

'>  пробвай пак - наистина нищо неразбрах ...
ако може с някое примерче сега ?

[PAIN1]

Хубаво, представи си полето на форум в което си пишеш съобщението.
Там мога да напиша всякакви html тагове, скриптове и неща които браузера подържа.Съответно ги запазвам някъде. И като искам да го изкарам на екрана, примерно както са съобщенията, искам да интерпретира съобщението със всичките му тагове коректно, но същевременно да съм се предпазил от злонамерени такива ?

Дано да съм те разбрал правилно. Пробвай това.

[PAIN1]

хм, не.
Представи си че във форма textarea попълваш html кода на един документ.

Примерен код

<html> <head> </head> <body> </body> </html>

И всякакви html тагове.Но някъде там се мъдри примерно да кажем някой java script който има за цел нещо лошо, я забива нещо я отваря някоя реклама, нещо нежелано.
Та това което се записва в textarea-та се помни някъде.
И след като го разпечатам в някой в някоя страница(самия документ не е отделна страница) искам такива потенциални кодове да изчезнат.
Идва ми на ум примерно да разменя <> със []  и евентуално само таговете които са познати на програмата(с които съм я запознал :Р) да интерпретира коректно, а другите да останат. Другия вариант е да минават модериране и тогава да стават достъпни за простия потребител ?
Някакъв друг план на действие ме интересува ?

'> човече, str_replace погледнал ли си?

Примерен код

$page = str_replace('[javascr]', '<script language="javascript">', $page);

Това ще замени всички '<script language="javascript">' с '[javascript]' в променливата $page.

абе зарежи str_replace, това е бозава работа има си функц. в пхп-то за това нещо:

http://bg2.php.net/manual/en/function.htmlspecialchars.php
http://bg2.php.net/manual/en/function.htmlentities.php

за повече инфо търси в гоогле за Cross Stite Scripting.
Здраве и успехи !

хмм - тази цялата работа струва ми се не е добре замислена:

Цитат

Искам да импортна документ.Тоест с форма поле в което въвеждам документ, съответно примерно със всичките му тагове

по-добре е да намериш друг начин да реализираш това, което искаш .. въобще, не е хубаво да даваш на кои да е да ти вкарва tags в site-а ... незнам каква точно ти е целта, но си прецени и го помисли хубаво преди да го правиш