Надоел мне htmlspecialchars

Главная страница

Создание сайтов

Блог Кузнецова М.В.

Статьи о PHP

PHP-скрипты

Статьи об Apache

Форум С++

Консультации

Форум "Про Жизнь"

Форум:	Форум PHP	Форум Apache	Форум Регулярные Выражения	Форум MySQL	HTML+CSS+JavaScript	Форум Flash	Разное
Новые темы:	0	0	0	0	0	0	0

Здравствуйте, Посетитель!

вид форума:

тема: Надоел мне htmlspecialchars

следующая тема

предыдущая тема

	автор: Eugene77 (17.12.2007 в 17:55) письмо автору
	Из-за этой функции приходится всё оформление постов делать через свои псевдотеги. Столько возни! Хочется оставить пользвателю право вводить в форму общепринятые html теги - пусть он делает своё форматирование без ограничений. Ну, запретить, ясное дело, "/<script.?/i", "/on.+=/i" Что ещё? Я ничего больше не припомню опасного. Возможно так обойтись без htmlspecialchars? Какие ещё ограничения необходимо добавить?

	автор: CrazyAngel (17.12.2007 в 18:05) письмо автору
	для: Eugene77 (17.12.2007 в 17:55)
	эм.... может поможет strip_tags только обратите внимание на Warning

	автор: Unkind (17.12.2007 в 18:08) письмо автору
	для: CrazyAngel (17.12.2007 в 18:05)
	:) А Вы обратите внимание на задачу автора темы.

	автор: CrazyAngel (17.12.2007 в 18:14) письмо автору
	для: Unkind (17.12.2007 в 18:08)
	ну ... бессонная ночь сделала свое дело :) ....

	автор: vitroot (18.12.2007 в 08:31) письмо автору
	для: Eugene77 (17.12.2007 в 17:55)
	думаю, регулярные выражения помогут

	автор: kasmanaft (18.12.2007 в 08:49) письмо автору
	для: vitroot (18.12.2007 в 08:31)
	Помогут в чём? Обрабатывать псевдотеги или "оставить пользвателю право вводить в форму общепринятые html теги" ?

	автор: Саня (18.12.2007 в 10:00) письмо автору
	для: Eugene77 (17.12.2007 в 17:55)
	> Что ещё? События onclick, onmouseover, ...

	автор: Unkind (18.12.2007 в 10:40) письмо автору
	для: Саня (18.12.2007 в 10:00)
	Обратите внимание на его второй паттерн.

	автор: Eugene77 (18.12.2007 в 19:09) письмо автору
	для: Eugene77 (17.12.2007 в 17:55)
	Ага, не много информации, зато сам припомнил: <embed <object <applet тоже нельзя допускать Кто ещё что помнит? "/on.+=/i" - уже упомянуто

	автор: SnooPI (18.12.2007 в 19:36) письмо автору
	для: Eugene77 (18.12.2007 в 19:09)
	<frame <iframe А вообщето тебе надо запретить использовать style="" т.к. и с помощью css можно сделать xss :)

	автор: Eugene77 (19.12.2007 в 17:08) письмо автору
	для: SnooPI (18.12.2007 в 19:36)
	><frame ><iframe Принимаю на ура. >А вообщето тебе надо запретить использовать style="" т.к. и с помощью css можно сделать xss :) А с этим что-то не совсем ясно. Хотелось бы чуть понятнее. Может просто expressions запретить? Поясните, пожалуйста, или ссылочку.

	автор: mihdan (19.12.2007 в 17:23) письмо автору
	для: Eugene77 (19.12.2007 в 17:08)
	expressions - js в css, представьте что можно натворить с js, Практически все это делается и через expressions

	автор: kasmanaft (18.12.2007 в 19:38) письмо автору
	для: Eugene77 (18.12.2007 в 19:09)
	>> embed, object, applet Запрещайте всё, что не разрешено. А разрешайте самое основное (одной table можно весь дизайн испортить)... И вообще без атрибутов теги пусть пишут, мало ли придумают чего.

	автор: Саня (19.12.2007 в 16:36) письмо автору
	для: Eugene77 (17.12.2007 в 17:55)
	Expressions в CSS.