Титла: Php - добавяне на документ.
Публикувано от: PAIN1 в Mar 22, 2006, 21:31
От заглавието не става много ясно, но сега ще обясня.
Искам да импортна документ.Тоест с форма поле в което въвеждам документ, съответно примерно със всичките му тагове <боди> и т.н. .
Много лесно ако реша да го запиша по същия начин по който е въведено.
Но понеже съм срещал в някой си документ за php, който съм чел, че не е хубаво да се записват оригиналните тагове, за да избегнем евентуално попълване на злонамерен код.
Та как да модифицирам и до каква степен въведената информация, че да се освободя от този потенциално зъл код.
Надявам се ме разбрахте, ако не ще се опитам отново да обясня.
Искам да импортна документ.Тоест с форма поле в което въвеждам документ, съответно примерно със всичките му тагове <боди> и т.н. .
Много лесно ако реша да го запиша по същия начин по който е въведено.
Но понеже съм срещал в някой си документ за php, който съм чел, че не е хубаво да се записват оригиналните тагове, за да избегнем евентуално попълване на злонамерен код.
Та как да модифицирам и до каква степен въведената информация, че да се освободя от този потенциално зъл код.
Надявам се ме разбрахте, ако не ще се опитам отново да обясня.
Титла: Php - добавяне на документ.
Публикувано от: prilep в Mar 23, 2006, 00:00
пробвай пак - наистина нищо неразбрах ...ако може с някое примерче сега ?
Титла: Php - добавяне на документ.
Публикувано от: PAIN1 в Mar 23, 2006, 09:30
Хубаво, представи си полето на форум в което си пишеш съобщението.
Там мога да напиша всякакви html тагове, скриптове и неща които браузера подържа.Съответно ги запазвам някъде. И като искам да го изкарам на екрана, примерно както са съобщенията, искам да интерпретира съобщението със всичките му тагове коректно, но същевременно да съм се предпазил от злонамерени такива ?
Там мога да напиша всякакви html тагове, скриптове и неща които браузера подържа.Съответно ги запазвам някъде. И като искам да го изкарам на екрана, примерно както са съобщенията, искам да интерпретира съобщението със всичките му тагове коректно, но същевременно да съм се предпазил от злонамерени такива ?
Титла: Php - добавяне на документ.
Публикувано от: в Mar 23, 2006, 09:56
Дано да съм те разбрал правилно. Пробвай това.
Титла: Php - добавяне на документ.
Публикувано от: PAIN1 в Mar 23, 2006, 10:50
хм, не.
Представи си че във форма textarea попълваш html кода на един документ.
И всякакви html тагове.Но някъде там се мъдри примерно да кажем някой java script който има за цел нещо лошо, я забива нещо я отваря някоя реклама, нещо нежелано.
Та това което се записва в textarea-та се помни някъде.
И след като го разпечатам в някой в някоя страница(самия документ не е отделна страница) искам такива потенциални кодове да изчезнат.
Идва ми на ум примерно да разменя <> със [] и евентуално само таговете които са познати на програмата(с които съм я запознал :Р) да интерпретира коректно, а другите да останат. Другия вариант е да минават модериране и тогава да стават достъпни за простия потребител ?
Някакъв друг план на действие ме интересува ?
Представи си че във форма textarea попълваш html кода на един документ.
| Примерен код |
<html> <head> </head> <body> </body> </html> |
И всякакви html тагове.Но някъде там се мъдри примерно да кажем някой java script който има за цел нещо лошо, я забива нещо я отваря някоя реклама, нещо нежелано.
Та това което се записва в textarea-та се помни някъде.
И след като го разпечатам в някой в някоя страница(самия документ не е отделна страница) искам такива потенциални кодове да изчезнат.
Идва ми на ум примерно да разменя <> със [] и евентуално само таговете които са познати на програмата(с които съм я запознал :Р) да интерпретира коректно, а другите да останат. Другия вариант е да минават модериране и тогава да стават достъпни за простия потребител ?
Някакъв друг план на действие ме интересува ?
Титла: Php - добавяне на документ.
Публикувано от: в Mar 23, 2006, 11:24
човече, str_replace погледнал ли си? | Примерен код |
| $page = str_replace('[javascr]', '<script language="javascript">', $page); |
Титла: Php - добавяне на документ.
Публикувано от: в Mar 23, 2006, 11:47
абе зарежи str_replace, това е бозава работа има си функц. в пхп-то за това нещо:
http://bg2.php.net/manual/en/function.htmlspecialchars.php
http://bg2.php.net/manual/en/function.htmlentities.php
за повече инфо търси в гоогле за Cross Stite Scripting.
Здраве и успехи !
http://bg2.php.net/manual/en/function.htmlspecialchars.php
http://bg2.php.net/manual/en/function.htmlentities.php
за повече инфо търси в гоогле за Cross Stite Scripting.
Здраве и успехи !
Титла: Php - добавяне на документ.
Публикувано от: в Mar 23, 2006, 12:07
хмм - тази цялата работа струва ми се не е добре замислена:
по-добре е да намериш друг начин да реализираш това, което искаш .. въобще, не е хубаво да даваш на кои да е да ти вкарва tags в site-а ... незнам каква точно ти е целта, но си прецени и го помисли хубаво преди да го правиш
| Цитат |
| Искам да импортна документ.Тоест с форма поле в което въвеждам документ, съответно примерно със всичките му тагове |
по-добре е да намериш друг начин да реализираш това, което искаш .. въобще, не е хубаво да даваш на кои да е да ти вкарва tags в site-а ... незнам каква точно ти е целта, но си прецени и го помисли хубаво преди да го правиш