Jak można zablokować używanie html(tak żeby usuwało znaczniki) oraz js w formularzach?Chodzi też o to żeby można bylo dodać wyjątki typu itd. Pewnie to trzeba w js zrobic lecz nizbyt umiem ten język. Prosze o pomoc
//pozdrawiam pinokio
Jak można zablokować używanie html(tak żeby usuwało znaczniki) oraz js w formularzach?Chodzi też o to żeby można bylo dodać wyjątki typu itd. Pewnie to trzeba w js zrobic lecz nizbyt umiem ten język. Prosze o pomoc
//pozdrawiam pinokio
http://pl.php.net/manual/pl/function.strip-tags.php
w js byłoby dużo kombinowania, zresztą dla chcącego nic trudnego (obejść js)
http://pl.php.net/manual/pl/function.strip-tags.php
JS nie polecam, bo będzie to można ominąć.
@Edit: sorry za powtórzenie, ale nie zauważyłem, że już ktoś napisał. No i pamiętaj, że jeżeli zezwolisz na jakiś tag, to będzie do niego można podawać argumenty i w ten sposób wprowadzić JS (np. przez zdarzenie)
thx za odpowiedzi. prosze tylko mi odpowiedzieć. robie prosty formularz. I mam pare przycisków do: <b.>;<u.>;<i.> oraz do wstawiania obrazków i linków. Jesli zrobie wyjątki na te tagi to czy będzie jakieś poważniejsze zagrożenie?? Jesli tak to można temu jakoś zaradzić?
//po szybkiej analizie stwierdziłem że zdarzenia na tych znacznikach nie działąją. mam racje??
Mozesz tez uzyc str_replace i wywalac wszelkie wystapienia onClick, onLoad, on... - jak ktos bedzie chcial dodac taki znacznik z tym zdarzeniem to nie zadziala. Efekt bedzie taki, ze bedzie widac co chcial wpisac - ale to raczej nie jest problem.
johny_bravo: z drugiej strony kometarz może być taki:
"ta funkcja powinna znaleźć się w onclick"
wtedy str_replace usunie 'onclick', a ludzie się będą pytali: gdzie ? ;-)
co do tematu: http://shiflett.org/blog/2007/mar/allowing-html-and-preventing-xss
po angielsku, ale jeśli się zobaczy w kod, to chyba nie będzie problemów z interpetacją
Fucktycznie o tym nie pomyslalem :)
kubARek napisał(a)
po angielsku
sorry za OT, ale muszę... czy to ma jakiekolwiek znaczenie, że po angielsku? I nie pije do Ciebie kubARek, ale do wszystkich tych, co się oburzają, jak dostają na tacy materiały nie w naszym rodzimym języku. Ja rozumiem, że nasz urzędowy jest Polski, ale jesteśmy (chyba) osobami na "trochę wyższym" poziomie niż mechanik jadący do anglii i angielski nie powinien stanowić batiery. Dlaczego o tym piszę? Obserwuje (w ciągu ostatnich 1-2 lat) wzrost ilości osób, które w ogóle przyznają się do nie znajomości tego języka...
@tomkiewicz: To nie jest tak, że więcej ludzi się do tego przyznaje. Po prostu więcej ludzi wchodzi w "informatykę" z takich, które tego języka nie znają. Kiedyś jak się nie znało angielskiego, po prostu fizycznie nie dało się niczego nauczyć z informatyki, bo nie było literatury po polsku - ani tej "książkowej" ani tutoriali w necie, ani lokalizowanych helpów... To się zmieniło.