Как обезопасить вводные тексты пользователей?

Question

[green300]

Что то я не пойму как работает и вообще ли работает htmlspecialchars.
Как сделать чтоб человек мог отправлять текст на сайт с разными символами - точками, ковычками, вопросительными знаками и чтоб это было не опасно для сайта?
или тупо запретить все скобочки, ковычки регулярным выражением?

Comments

[Rsa97]

А почему спецсимволы должны быть опасны для сайта?

[MrColdCoffee]

trim,htmlspecialchars,nl2br должно быть достаточно

[green300]

MrColdCoffee, htmlspecialchars чет она у меня не работает от слова - вообще

[green300]

Rsa97, я думал с помощью них можно скрипт внедрить

[green300]

ребята ктонить подскажет как защиту делать от разного рода инъекций и прочих нежелательных моментов?
или у нас росиянский менталитет не позволяет и надо идти англоязычные ресурсы переводить...там у них народ помогает друг другу нормально

[green300]

с таким успехом я мог и в одноклассниках пойти спросить помощи)))))))))))))))))

[Newto]

А с чего вы взяли что htmlspecialchars у вас не работает?
Что у вас выведет, например, вот такой код?

$str = '<hr>';
print htmlspecialchars($str);

Пропишите его и посмотрите на результат, открыв исходный код страницы.

[Александр Маджугин]

green300, а как ты это понял?

[AUser0]

- Видишь результат htmlspecialchars()? А он есть! (c) фильма.

[green300]

Newto, да у меня в базу данных записывается код..но из формы алерт js не срабатывает...это получается работает фунция значит чтоли?

[green300]

Александр Маджугин, да я не понял вот и спросил чтоб объяснили помогли..а тут ребята нормально сказать не могут

[Newto]

green300, Я не знаю что у вас прописано в алерте на странице. Работает функция или нет можно проверить открыв исходный код страницы и посмотрев на html. Если вы там увидите, что < заменены на <, > на > и так далее, в той строке которую вы обработали функцией htmlspecialchars, значит работает. Прежде чем записывать в базу, выведите обработанную строку на экран и посмотрите.

[green300]

Newto, понял - спасибо ЧЕЛОВЕК!

[Newto]

green300, Воистину не за что, вопрос ведь был простым. Удачи вам в нелегком пути веб-разработки :)

[green300]

Newto, да, за полтора года много узнал нового..вот сейчас смотрю как теперь данные из формы этой вывести в сингле поста..чтоб по id там все совпадало..

Answer 1

[maksam07]

$user_input = '<script>alert("Hello world");</script>';
$safe_input = htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8');
// $safe_input = '&lt;script&gt;alert(&quot;Hello world&quot;);&lt;/script&gt;';

Comments

[green300]

тоесть если в базу данных строчка со скриптом попадает как есть, но из формы не выполняется, значит все защищено?

[maksam07]

green300, нажми на карандаш, чтобы отредактировать строку, увидишь, что скорее всего < и > у тебя экранированы

[Александр Маджугин]

Так выведи ее на сайт в конце-концов - если вылете алерт -значит все плохо. Если будет отображен текст все хорошо.

[green300]

ну понял..спасибо...я то думал она выводит сущности эти мнемоники, а она это в фоне делает...