| |
|
|
| | У меня такой вопрос:
Есть html форма textarea, в нее пользователь вводит данные, как разрешить вводить js скрипты и html тэги, но обрезать при этом php? | |
| |
|
|
| |
|
|
| |
для: Blizard
(25.07.2009 в 16:55)
| | | То есть крякнуть Вас можно, но не через PHP | |
| |
|
|
| |
|
|
| |
для: GeorgeIV
(25.07.2009 в 16:58)
| | | >То есть крякнуть Вас можно, но не через PHP
:-)
может str_replace()
http://www.php.su/functions/?cat=strings | |
| |
|
|
| |
|
|
| |
для: aetern
(25.07.2009 в 17:01)
| | | а на сколько спасет
$str = str_replace("<?", "", $str);
$str = str_replace("?>", "", $str);
|
| |
| |
|
|
| |
|
|
| |
для: Blizard
(25.07.2009 в 17:11)
| | | никто не знает? | |
| |
|
|
| |
|
|
| |
для: Blizard
(25.07.2009 в 17:41)
| | | что Вы хотите в конечном итоге? | |
| |
|
|
| |
|
|
| |
для: GeorgeIV
(25.07.2009 в 18:29)
| | | GeorgeIV, хочу дать доступ пользователям к редактированию html файлов, понятно что в сам файл они могут писать сколько угодно php кода и он не выполнится т.к. формат .html, но структура присутствует и такая
index.php
<?
require_once("file1.html");
require_once("file2.html");
require_once("file3.html");
?>
|
т.е. если юзер туда впихнет php скрипт и я его не обрежу. то по адресу ......./index.php этот скрипт выполнится, поэтому спрашиваю на сколько будет эффективен str_replace() в данном случае и как теоретически его может обойти хакер?
редактировать файлы пользователи будут через форму textarea | |
| |
|
|
| |
|
|
| |
для: Blizard
(25.07.2009 в 19:18)
| | | Мой пост, удаленный модератором, отвечал на вопрос.
Будем тему закрывать? | |
| |
|
|
| |
|
|
| |
для: Trianon
(26.07.2009 в 00:14)
| | | М-да, к модерированию есть вопросы... | |
| |
|
|
| |
|
|
| |
для: GeorgeIV
(26.07.2009 в 00:18)
| | | Trianon, по вашему вопросу -- php файлы там нужны, мне не обойтись без сессий и не только, поэтому они там присутствуют | |
| |
|
|
| |
|
|
| |
для: Blizard
(26.07.2009 в 00:21)
| | | А я не предлагал удалять php-файлы.
Я лишь посоветовал запретить перезапись файлов с такими расширениями. | |
| |
|
|
| |
|
|
| |
для: Trianon
(26.07.2009 в 00:23)
| | | вы тоже не поняли о чем я, я их и не перезаписываю, но за то перезаписываю html которые инклудятся в php | |
| |
|
|
| |
|
|
| |
для: Blizard
(26.07.2009 в 01:47)
| | | Я-то понял. И уже достаточно давно.
html Вас инклудить никто не заставляет.
Его надо читать и выкидывать в поток браузеру.
Инклудится серверный код. Читается контент.
Две большие разницы.
О том, что вы не делаете меж ними различия, Вам здесь уже написали.
Георгий вчастности. Вы же изволили обидеться. | |
| |
|
|
| |
|
|
| |
для: Trianon
(26.07.2009 в 02:05)
| | | "Его надо читать и выкидывать в поток браузеру."
а каким образом? | |
| |
|
|
| |
|
|
| |
для: Blizard
(26.07.2009 в 02:27)
| | | readfile() | |
| |
|
|
