вопрос по htmlspecialchars($a)
- Автор темы kozax89
- Дата начала
- Статус
t0wer
BlackHerald
- Регистрация
- 24 Июн 2008
- Сообщения
- 743
- Реакции
- 440
htmlspecialchars - Преобразует специальные символы в HTML сущности? а не обрезает!
strip_tags - Удаляет HTML и PHP тэги из строки.
Если оставлять HTML не обработанным, то можно на свой код получить XSS уязвимость. Так что нужно обрабатывать все!
PHP:
<?php
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $new; // <a href='test'>Test</a>
?>strip_tags - Удаляет HTML и PHP тэги из строки.
Если оставлять HTML не обработанным, то можно на свой код получить XSS уязвимость. Так что нужно обрабатывать все!
saen
Постоялец
- Регистрация
- 6 Авг 2006
- Сообщения
- 756
- Реакции
- 129
Тебе надо вырезать именно теги или все, что представляет собой кусок php-кода? как вариант для обоих случаев можно использовать str_replace либо preg_replace
kozax89
Постоялец
- Регистрация
- 12 Июл 2009
- Сообщения
- 135
- Реакции
- 4
- Автор темы
- #7
ну допустим обработчик получает переменную $text - В ней по идеи надо дать пользователю возможность пользоваться любым html но при этом заблокировать возможность использовать PHP
Заманчивым выглядит вариант tostrss - можешь описать подробней как этого добится? )) Поискал в инете и нашел только про удаление определенных позиций из строки - например с 5 по 10 позицию.
А как удалить начиная от <? и заканчивая на ?> ? Такой вариант былбы просто чудесен
Заманчивым выглядит вариант tostrss - можешь описать подробней как этого добится? )) Поискал в инете и нашел только про удаление определенных позиций из строки - например с 5 по 10 позицию.
А как удалить начиная от <? и заканчивая на ?> ? Такой вариант былбы просто чудесен
Примерно так
Добавлено через 38 секунд
Вместо <?echo "Hello"?>My<?echo "Hello"?>name<?echo "Hello"?>is
выведется My name is
PHP:
<?php
$text='<?echo "Hello"?>My<?echo "Hello"?>name<?echo "Hello"?>is';
$pos1=strpos($text,"<?");
$pos2=strpos($text,"?>");
if ($pos2>0) $flag=True;
else $flag=False;
while ($flag){
$text1=substr($text,0,$pos1);
$text2=substr($text,$pos2+2);
$text=$text1.' '.$text2;
$pos1=strpos($text,"<?");
$pos2=strpos($text,"?>");
if ($pos2>0) $flag=True;
else $flag=False;
}
echo '<br>'.htmlentities($text);
?>Добавлено через 38 секунд
Вместо <?echo "Hello"?>My<?echo "Hello"?>name<?echo "Hello"?>is
выведется My name is
t0wer
BlackHerald
- Регистрация
- 24 Июн 2008
- Сообщения
- 743
- Реакции
- 440
вот так:А как удалить начиная от <? и заканчивая на ?> ? Такой вариант былбы просто чудесен
Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.
- Статус