Можете подсказать Javascript редактор (Не wysiwyg. Хочу, чтобы было как на Тостере - жму на кнопку B, например, и появляется код)?

Спасибо) А можно сделать так, чтобы курсор не исчезал? И теги ставились после него (А то сейчас они в каком-то хаотичном порядке ставятся - если написать одну букву и потом щелкать по B, например, то теги появляются то перед этой буквой, то после нее. Как-то странно.).

Можете подсказать Javascript редактор (Не wysiwyg. Хочу, чтобы было как на Тостере - жму на кнопку B, например, и появляется код)?

Антон Спирин, для back-end разработчика не особо прост. Я JS не так знаю, как PHP. Много времени уйдет на написание.

MySQL - Хранение времени в DATETIME и INT - в чем разница (Все равно DATETIME не меняется от часового пояса - как был сохранен, так и останется)?

Зато чтобы форматировать время в DATETIME, нужно ведь сначала в POSIX-время его перевести, а потом в нужный формат, так? А с INT код на одно действие короче будет - это уже POSIX-время.
Я имею в виду форматирование языком программирования, например, php. DATETIME - всего лишь строка. И из нее другое форматирование сделать проблематично.

Что будет, если указать разные временные зоны в PHP и в MySQL? Будут какие-нибудь сдвиги при получении / сохранении даты?

Stalker_RED, TIMESTAMP тоже поменяет свои значения. А DATETIME оставит как есть.

...если вы передаете дату в виде строки без указания таймзоны.

Что это означает? Можно как-то в MySQL отправить дату вместе с TimeZone, к которой эта дата принадлежит? И сохранить их вместе? Можете написать, как это сделать?

Что будет, если указать разные временные зоны в PHP и в MySQL? Будут какие-нибудь сдвиги при получении / сохранении даты?

Rsa97, Я также пробовал date_1 делать timestamp. Результат тот же.

Что будет, если указать разные временные зоны в PHP и в MySQL? Будут какие-нибудь сдвиги при получении / сохранении даты?

Я написал вот такой скрипт. В таблице test поле id (int) и поле date_1 (datetime). Я также пробовал date_1 делать timestamp.

date_default_timezone_set('America/New_York');
$test = ORM::factory('Test');
$date_1 = new DateTime("now");
$date_1 = $date_1->format('Y-m-d h:i:s');
$test->date_1 = $date_1;
$test->save();

$test = ORM::factory('Test')->find();
echo $test->date_1;
echo $date_1;

Этот код выводит одно и то же. Какие проблемы вы имеете в виду?
В MySQL временная зона стоит SYSTEM (Московское время).

Regexp - как сделать вот такое выражение "[^>]" только не для одного символа, а для группы - "[^(>)]"?

dodo512, после первого найденного совпадения регулярка больше их на той же строке не ищет. Как исправить?

Как обезопасить сайт от комментария пользователя с XSS, но при этом сохранить нужные теги (htmlspecialchars делает теги обычным текстом)?

А если просто вот так написать, сработает? Javascript убирает.

$filter = new HTMLPurifier();
$text = $filter->purify($text);

CKEditor - если ввести только лишь 1 пробел, то функция getData() вернет пустую строку. Можно ли это как-нибудь исправить?

Karen Ananiev, можете написать код, который позволит с помощью этой функции увидеть переносы строк?

CKEditor - если ввести только лишь 1 пробел, то функция getData() вернет пустую строку. Можно ли это как-нибудь исправить?

Эта функция не видит переносы строк. А это плохо.

Как в php удалить из строки определенные теги? Функция strip_tags удалет все кроме определенных. А мне нужно только определенные. Как это сделать?

Anton fon Faust, хочется сделать функцию универсальной и многоразовой. принимает какие-либо теги и строку. и исключает эти теги из строки.

Как в php удалить из строки определенные теги? Функция strip_tags удалет все кроме определенных. А мне нужно только определенные. Как это сделать?

Adamos, нужно две регулярки (одна на парные теги, другая на одинарные) и все одинарные теги, занесенные в массив?

Как в php удалить из строки определенные теги? Функция strip_tags удалет все кроме определенных. А мне нужно только определенные. Как это сделать?

Anton fon Faust, А можете написать эту регулярку? Чтобы одиночные теги тоже искала.

Как в php удалить из строки определенные теги? Функция strip_tags удалет все кроме определенных. А мне нужно только определенные. Как это сделать?

Вы же просто повторили то, что я написал в вопросе.

Зачем во избежание XSS нужно указывать на каждой странице кодировку, если злоумышленник все равно может изменить ее?

А хакер не может скачать старый браузер, чтобы для него открылась эта уязвимость?

Зачем во избежание XSS нужно указывать на каждой странице кодировку, если злоумышленник все равно может изменить ее?

Сохранять пользовательский ввод стоит уже в очищенном виде

sim3x, я вот здесь ( Должен ли я при использовании какого-либо популярного фреймворка обрабатывать $_POST и $_GET данные функцией htmlspecialchars (или подобными)? ) задавал вопрос про сохранение в БД пользовательского ввода. Мне сказали, что сохранять лучше в оригинальном виде (без использования htmlspecialchars) - данные могут потребоваться в иных форматах. Почему вы считаете, что лучше в очищенном?

Если не очистить текст и не указать кодировку, то просто htmlspecialchars может пропустить

А разве HTTP-заголовки, отправляемые браузером на сервер нельзя изменить? И в них - кодировку. Так, чтобы htmlspecialchars пропустил.

Зачем во избежание XSS нужно указывать на каждой странице кодировку, если злоумышленник все равно может изменить ее?

sim3x, можно вставить javascript код в поле для комментария, например. он сохранится в БД. далее, когда кто-то открывает страницу с товаром, например. на странице отображаются комментарии. и в них javascript код, который отправил злоумышленник в качестве комментария к товару. с помощью этой уязвимости можно отправить javascript код, который отправляет cookie посетителя сайта (того, кто загружает комменты точнее страницу с комментами) на другой сайт. после чего злоумышленник (владелец другого сайта) может поставить их себе в браузер, и тогда он будет авторизован, как тот пользователь, у которого он взял эти cookie.
чтобы этого избежать, нужно при выводе данных, которые сохранились однажды от пользователя (при выводе комментария из БД, например) использовать функцию htmlspecialchars.
вот только я плохо понимаю, при чем тут кодировка? зачем ее задавать разработчику? можете объяснить?

я так понял, что htmlspecialchars не может обработать данные в кодировке UTF-7. и если эта функция применяется не при выгрузке коммента из БД, а при его сохранении в БД. то если при отправке комментария установить в заголовках кодировку в UTF-7, то функция не сработает и код злоумышленника сохранится в БД как есть. и дальше при загрузке страницы с комментариями (при ее просмотре) все происходит по тому сценарию, который я описал выше. так?

я только недавно узнал про xss, так что прошу не писать в мой адрес ничего плохого.

Зачем во избежание XSS нужно указывать на каждой странице кодировку, если злоумышленник все равно может изменить ее?

sim3x, Cross-site scripting.

Если пользователь может изменить кодировку в мета теге и таким образом обойти защиту от XSS, зачем обычно указывают ее тегом?

А функция htmlspecialchars предназначена не для этого.

Александр, мне вот в этом ( Должен ли я при использовании какого-либо популярного фреймворка обрабатывать $_POST и $_GET данные функцией htmlspecialchars (или подобными)? ) вопросе отвечали, что htmlspecialchars нужно применять как раз при получении значений из БД, если эти значения дальше попадают в HTML код.

Кодировку проверять не нужно.

А зачем тогда ее вообще указывать на странице (писали в статье на хабре), если ее (кодировку) можно изменить (изменить заголовки)? Если можно изменить, то почему не нужно проверять? Получается, что смысла от того, что я ее указываю нет.

Если пользователь может изменить кодировку в мета теге и таким образом обойти защиту от XSS, зачем обычно указывают ее тегом?

Александр, если злоумышленник может подделать заголовки и изменить кодировку, то функция htmlspecialchars не поможет обезвредить XSS код, который я выгрузил из БД, например (который туда занес пользователь) для вывода на страничке? Как тогда защищаться от XSS?
Проверять кодировку в заголовке, и если она не соответствует нужной, то отказывать пользователю в загрузке страницы / перенаправлять его на другую страницу, например?
Я только начинаю изучать защиту от XSS. Прочитал несколько статей, но про такие тонкости нигде читал. Может, в популярных фреймворках это уже сделано? Поэтому мало кто пишет об этом?