GoldenLine
Zaloguj się
Raphael Brick

Raphael Brick Vince in bono
malum...

Temat: cudzysłów w input

Witam

Jak rozwiązujecie znaki cudzysłowia w <input> ?

Wypełniając wartości na podstawie bazy value=" coś z bazy " jezeli w bazie jest cudzysłów to value zbyt szybko się kończy.

pozdrawiam
Link do wypowiedziLink

konto usunięte

Temat: cudzysłów w input

"


zalatwi sprawe ;)

---------
EDITT !!!! AAAAAA glupie GL.
nie moge napisac oco chodzi :)

& q u o t ;

usun spacje z tej lini powyzej i bedzie OK.
Jak zrobie to bez spacji, to mi w GL Zamienia po prostu na " :)Andrzej Winnicki edytował(a) ten post dnia 30.04.10 o godzinie 11:30
Link do wypowiedziLink
Maciej Aniserowicz

Maciej Aniserowicz software
developer/architect

Temat: cudzysłów w input

Przed wyświetleniem treści użytkownikowi należałoby uprzednio przepuścić treść przez proces "encodowania". Nie wiem jak dokładnie wywołać w innych technologiach, w ASP.NET jest to metoda HttpServerUtility.HtmlEncode. Dzięki temu obsłużysz nie tylko cudzysłów, ale także potencjalnie niebezpieczne treści jak chociażby skrypty JS.
Link do wypowiedziLink
Jarek W.

Jarek W. Software Engineer

Temat: cudzysłów w input

W PHP możesz użyć funkcji htmlentities.
Link do wypowiedziLink

konto usunięte

Temat: cudzysłów w input

Generując HTML musisz za każdym razem konwertować tekst na HTML. W PHP to robi htmlspecialchars() (htmlentities konwertuje za dużo, przez co jest niepotrzebnie zależne od użytego kodowania).

Za każdym razem jak wyplujesz echo $zmienna, to tworzysz lukę XSS.

Jeśli drażni cię ciąłe pisanie echo htmlspecialchars() i tworzenie setek luk, kiedy zapomnisz, to użyj sensownego systemu szablonów (nie PHP, nie Smarty).
Link do wypowiedziLink
Jarek W.

Jarek W. Software Engineer

Temat: cudzysłów w input

htmlentities konwertuje za dużo, przez co jest niepotrzebnie zależne od użytego kodowania

Rzeczywiście - dzięki za zwrócenie uwagi. Jest to z resztą napisane w opisie funkcji htmlentities, na samym początku.

Dla zainteresowanych dodam jeszcze, że to, co htmlentities robi więcej od htmlspecialchars można obejrzeć w źródłach PHP. Dla wersji
5.2.13 w pliku /ext/standard/html.c są to linie od 1154 do 1185
(warunek if(all)...).Jarek W. edytował(a) ten post dnia 10.05.10 o godzinie 19:47
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

input type = file a odczyt ...




Wyślij zaproszenie do
Anuluj