Blokada html w formularzu

0

Jak można zablokować używanie html(tak żeby usuwało znaczniki) oraz js w formularzach?Chodzi też o to żeby można bylo dodać wyjątki typu itd. Pewnie to trzeba w js zrobic lecz nizbyt umiem ten język. Prosze o pomoc

//pozdrawiam pinokio

0

http://pl.php.net/manual/pl/function.strip-tags.php

w js byłoby dużo kombinowania, zresztą dla chcącego nic trudnego (obejść js)

0

http://pl.php.net/manual/pl/function.strip-tags.php
JS nie polecam, bo będzie to można ominąć.
@Edit: sorry za powtórzenie, ale nie zauważyłem, że już ktoś napisał. No i pamiętaj, że jeżeli zezwolisz na jakiś tag, to będzie do niego można podawać argumenty i w ten sposób wprowadzić JS (np. przez zdarzenie)

0

thx za odpowiedzi. prosze tylko mi odpowiedzieć. robie prosty formularz. I mam pare przycisków do: <b.>;<u.>;<i.> oraz do wstawiania obrazków i linków. Jesli zrobie wyjątki na te tagi to czy będzie jakieś poważniejsze zagrożenie?? Jesli tak to można temu jakoś zaradzić?

//po szybkiej analizie stwierdziłem że zdarzenia na tych znacznikach nie działąją. mam racje??

0

Mozesz tez uzyc str_replace i wywalac wszelkie wystapienia onClick, onLoad, on... - jak ktos bedzie chcial dodac taki znacznik z tym zdarzeniem to nie zadziala. Efekt bedzie taki, ze bedzie widac co chcial wpisac - ale to raczej nie jest problem.

0

johny_bravo: z drugiej strony kometarz może być taki:
"ta funkcja powinna znaleźć się w onclick"
wtedy str_replace usunie 'onclick', a ludzie się będą pytali: gdzie ? ;-)

co do tematu: http://shiflett.org/blog/2007/mar/allowing-html-and-preventing-xss
po angielsku, ale jeśli się zobaczy w kod, to chyba nie będzie problemów z interpetacją

0

Fucktycznie o tym nie pomyslalem :)

0
kubARek napisał(a)

po angielsku

sorry za OT, ale muszę... czy to ma jakiekolwiek znaczenie, że po angielsku? I nie pije do Ciebie kubARek, ale do wszystkich tych, co się oburzają, jak dostają na tacy materiały nie w naszym rodzimym języku. Ja rozumiem, że nasz urzędowy jest Polski, ale jesteśmy (chyba) osobami na "trochę wyższym" poziomie niż mechanik jadący do anglii i angielski nie powinien stanowić batiery. Dlaczego o tym piszę? Obserwuje (w ciągu ostatnich 1-2 lat) wzrost ilości osób, które w ogóle przyznają się do nie znajomości tego języka...

0

@tomkiewicz: To nie jest tak, że więcej ludzi się do tego przyznaje. Po prostu więcej ludzi wchodzi w "informatykę" z takich, które tego języka nie znają. Kiedyś jak się nie znało angielskiego, po prostu fizycznie nie dało się niczego nauczyć z informatyki, bo nie było literatury po polsku - ani tej "książkowej" ani tutoriali w necie, ani lokalizowanych helpów... To się zmieniło.

1 użytkowników online, w tym zalogowanych: 0, gości: 1