|
| |
|
|
| |
для: Trianon
(07.07.2006 в 10:40)
| | | понятно | |
| |
|
|
| |
|
|
| |
для: margol
(07.07.2006 в 10:35)
| | | В этом варианте - нет.
А в случае, когда формат вывода даты не фиксирован, а может задаваться пользователем (что частенько делают в разных порталах, форумах, чатах) - безусловно. | |
| |
|
|
| |
|
|
| |
для: Trianon
(06.07.2006 в 20:44)
| | | Trianon
>А вот вывод функции date() экранировать с помощью htmlspecialchars нужно безусловно.
Поясните, пожалуйста, я вот просто вывожу
Нужно применять htmlspecialchars? | |
| |
|
|
| |
автор: cheops (из кафе) (07.07.2006 в 10:23) |
|
| |
для: 1q1
(07.07.2006 в 00:57)
| | | Встроенные функции не несут, как правило, никакой опасности - так как их подвергают самой тщательной проверке. При помощи date() нельзя никак изменить ни окружающий код, не содержимое файлов или базы данных. | |
| |
|
|
| |
|
|
| |
для: cheops
(06.07.2006 в 21:28)
| | | Спасибо, а каким образом что-то через date() можно сделать? | |
| |
|
|
| |
|
|
| |
для: 1q1
(06.07.2006 в 19:59)
| | | Нет, htmlspecialchars() можно не применять, функция time() в этом плане полностью безобидна. | |
| |
|
|
| |
|
|
| |
для: 1q1
(06.07.2006 в 19:59)
| | | Функция time() возвращает метку времени - целое число секунд. htmlspecialchars к цифрам этого числа применять бесполезно. Даже если кто-то и захочет выводить метки времени в сыром виде.
А вот вывод функции date() экранировать с помощью htmlspecialchars нужно безусловно. | |
| |
|
|
| |
|
|
| | Подскажите реально ли через функцию time() вставить php код, не лишним ли будет обезопасить, и сделать обработку htmlspecialchars() перед выводом данных? | |
| |
|
|
|
