Перейти к содержимому

Сервис обмена электронных валют

Партнерская программа Kredov

Вопрос о htmlspecialchars

#1 surfer

surfer
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71
0

Отправлено 02 Май 2010 - 21:14

текст вместе с html тегами выводится на страницу, для предотвращения xss используется htmlspecialchars, но тогда все теги перестают работать, а как сделать, чтоб тэги работали и была защита от xss?

bbcode не предлагать!

 

 

  • 0

#2 ZiTosS

ZiTosS
  • Пользователь
  • 5 148 сообщений
  • Репутация: 8

Отправлено 02 Май 2010 - 21:43

sc2r2bey, либо разрешить использование определенных тегов и самому отслеживать, чтобы всякого... На страницу не добавляли, либо bb-теги, либо визуалка без возможности редактирования в HTML-режиме (хотя вот тут не уверен, всё же это JS,а проверку на строне сервера делать всё же приходится, можно ведь данные и не через визуалку послать, а скриптом левым...
  • 0

#3 surfer

surfer
    Topic Starter
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71

Отправлено 02 Май 2010 - 23:27

а какую регулярку можно использовать?
  • 0

#4 gaaarfild

gaaarfild
  • Пользователь
  • 596 сообщений
  • Репутация: 0

Отправлено 03 Май 2010 - 01:43

Которая будет отслеживать только разрешенные теги.
Или тебе прямо саму регулярку надо?
  • 0

#5 surfer

surfer
    Topic Starter
  • Заблокированные
  • 1 956 сообщений
  • Репутация: 71

Отправлено 03 Май 2010 - 02:22

саму регулярку
  • 0

#6 ZiTosS

ZiTosS
  • Пользователь
  • 5 148 сообщений
  • Репутация: 8

Отправлено 03 Май 2010 - 07:02

sc2r2bey, шутник, тут одной регуляркой не обойтись. Нужен комплексный подход к решению задачи.
  • 0

#7 diclofoss

diclofoss
  • Пользователь
  • 4 сообщений
  • Репутация: 0

Отправлено 23 Июнь 2010 - 18:56

вообще были готовые солюшны уже на эту тему поищи в инете их много
  • 0

#8 gaaarfild

gaaarfild
  • Пользователь
  • 596 сообщений
  • Репутация: 0

Отправлено 23 Июнь 2010 - 20:22

Да остальную часть комплексного подходя, я думаю, он и сам сможет сделать. Какие именно теги тебя интересуют?
  • 0

#9 Osip

Osip
  • Пользователь
  • 9 сообщений
  • Репутация: 0

Отправлено 31 Июль 2010 - 08:00

текст вместе с html тегами выводится на страницу, для предотвращения xss используется htmlspecialchars, но тогда все теги перестают работать, а как сделать, чтоб тэги работали и была защита от xss?

bbcode не предлагать!


а преведи пример.. чето я не пойму.. это кто то, скажем "не хороший", должен же эти теги ввести, куда то, что бы они потом, где то вывелись. Так live пример плз.
  • 0

#10 gaaarfild

gaaarfild
  • Пользователь
  • 596 сообщений
  • Репутация: 0

Отправлено 31 Июль 2010 - 14:33

А ты сначала замени все теги с htmlspecialchars, а потом нужные тебе теги преврати обратно в HTML.


  • 0

robot

robot
  • Пользователь PRO
  • 2 652 сообщений
  • Репутация: 85


Оформление форума – IPBSkins.ru