Witam,
Mam zamiar zrobić swój na razie dość prymitywny system komentarzy oparty o jQuery i bazę danych. Tylko już na początku widzę pewną wadę - znaczniki HTML w komentarzach mogą wykrzaczyć cały szablon/wygląd strony. Czy jest sposób, żeby tekst "doklejany" do div'a nie był interpretowany przez przeglądarkę, albo coś w tym stylu? Na razie kodu jako takiego nie mam, bo dopiero staram się rozgryźć ten problem :P. Czy po prostu po stronie serwera muszę jakoś filtrować treść?
Nie ma możliwości, przy poprawnie semantycznym HTMLu aby wykrzaczył on składnie całej strony, musisz mieć coś chyba nie do końca w porządku z tym Twoim HTMLem. Nie ma możliwości, żeby przeglądarka nie interpretowała HTMLa który jej wklejasz.
@krzysnick większość języków programowania ma funkcje stripujące tagi html...
Na razie przykładowy, teoretyczny kod:
<body>
<div id="content">
<p>Komentarz 1</p>
<p>Komentarz 2</p>
</div>
</body>
Przy takim kodzie, sprytniejszy użytkownik mógłby zamiast komentarza wpisać: "
</div>" I np. dokleić swój kod javascript co mogłoby się źle skończyć :P. Mam nadzieję, że dobrze wytłumaczyłem o co mi chodzi.</p>@emfałsi: chodzi raczej o sytuację, gdy komentarz będzie wyglądał tak:
trolololo</div></div>.
A odpowiadając na pytanie - w jQuery możesz wklejać komentarz za pomocą .text(), a przed wysłaniem do bazy danych wyciąć wszelkie znaczniki HTML z komentarza; w PHP służy do tego np.funkcja http://php.net/manual/en/function.strip-tags.php
Patryk27 napisał(a):
@emfałsi: chodzi raczej o sytuację, gdy komentarz będzie wyglądał tak:
trolololo</div></div>.A odpowiadając na pytanie - w jQuery możesz wklejać komentarz za pomocą
.text(), a przed wysłaniem do bazy danych wyciąć wszelkie znaczniki HTML z komentarza; w PHP służy do tego np.funkcja http://php.net/manual/en/function.strip-tags.php
To przecież jest coś takiego jak HTMLEncode (w c#, podejrzewam że w innych językach też), i robi się tak zawsze dla inputów od użytkownika które później lądują na stronie.