login  Naam:   Wachtwoord: 
Registreer je!
 Forum

HTML niet toestaan

Offline ikki007 - 17/04/2007 09:50
Avatar van ikki007Gouden medailleGouden medaille

PHP ver gevorderde		 Hallo,

Bij het posten van een reactie in ons systeem is het nu mogelijk dat een poster HTML in zijn reactie plaatst en dat die dat ook uitleest.
Dus dan kan die de pagina stopzetten enz. onveilig dus.
Ik gebruik al wel een functie die de quotes veilig maakt (SQL Injection).
Hoe kan ik HTML tegengaan?

~Ikki

8 antwoorden

Gesponsorde links
Offline RiciBoy - 17/04/2007 09:56
Avatar van RiciBoy Nieuw lid Simpel je kan htmlspecialchars(); gebruiken..
Offline Abbas - 17/04/2007 09:59 (laatste wijziging 17/04/2007 09:59)
Avatar van Abbas Gouden medaille

Crew .NET		 Veiligheidsfunctie (van Dolfje):
http://www.site...amp;id=843
Offline ikki007 - 17/04/2007 10:14
Avatar van ikki007 Gouden medailleGouden medaille

PHP ver gevorderde		 @titjes: Die maakt er toch juist html van..
Het gaat erom dat als je <b>tekst</b> in je reactie plaatst dat dat niet uitglezen word.
Offline Rens - 17/04/2007 10:19
Avatar van Rens Gouden medaille

Crew algemeen		 PHP.net: strip_tags
Offline ArndJan - 17/04/2007 15:25
Avatar van ArndJan PHP interesse En als je toch wilt dat gebrukers iets kunnen aanpassen zoals <b> maak er dan ubb van [b] met een preg_replace();
Offline laars - 17/04/2007 15:27
Avatar van laars Onbekend of kijk naar parameters van strip_tags
Offline ArndJan - 17/04/2007 18:34 (laatste wijziging 17/04/2007 18:34)
Avatar van ArndJan PHP interesse @laars: of kijk naar parameters van strip_tags

Rens: http://www.php.net/strip_tags

Lekker duidelijk in ieder geval!
Offline Dark_Paul - 17/04/2007 21:33
Avatar van Dark_Paul PHP ver gevorderde @ArndJan:
Wij zijn hier niet om anderen de oplossing voor te kauwen. Ikki wil er zelf (denk ik) ook van leren, dan heeft hij niets aan een voorgekauwde oplossing.
Wij proberen enkel duwtjes in de goede richting te geven, zodat je het zelf beter leert. Dat is dus wat Rens doet. Meestal is de uitleg van php.net duidelijk genoeg om een functie te snappen.

@ikki007:
Als je de reacties ophaalt, kan je er ook PHP.net: htmlentities overheen laten gaan. Dan worden de HTML-tags dus ook onbruikbaar. Let er op dat je dit pas doet als je ze uitleest uit de DB, niet bij het invoeren, evenals nl2br(). Als je dit vantevoren doet, kan dat tot onverwachte resultaten leiden (bijv. bij het wijzigen van een reactie).
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.17s