Codici dei tag, sono pericolosi?

Ho notato nel mio sito che se inserisco & lt: e & gt; a video appare <...> perciò mi chiedo:

questi codici hanno l'effetto dei tag? Cioè, se l'utente nel campo mi inserisce i codici invece dei tag sarebbe allo stesso modo attivo come script e perciò pericoloso?

Assolutamente no, puoi scrivere sia un modo che nell'altro, non cambia niente.
E' come scrivere

Codice:

&

o

Codice:

&

E' la stessa precisa identica cosa

Assolutamente no, puoi scrivere sia un modo che nell'altro, non cambia niente.
E' come scrivere

Codice:

&

o

Codice:

&

E' la stessa precisa identica cosa

Si, a video appaiono i tag <---> sia che li scrivi in codice o no, chiedo questo perchè un tipo metteva nei miei campi uno script racchiuso tra i 2 tag, quando aprivo il mio form questi script si attivavano automaticamente.

Io ho già messo un'alert php "< e > non sono ammessi" ma vorrei sapere: se lui ora racchiude il suo script automatico fra i 2 codici (non fra i tag visto che con l'alert non può più), poi lo script diverrà attivo come prima?

[dementialsite]

Ho notato nel mio sito che se inserisco & lt: e & gt; a video appare <...> perciò mi chiedo:

questi codici hanno l'effetto dei tag? Cioè, se l'utente nel campo mi inserisce i codici invece dei tag sarebbe allo stesso modo attivo come script e perciò pericoloso?

L'entità &lt; e &gt; hanno proprio lo scopo che descrivi: visualizzare sullo schermo i caratteri < e >, che vengono invece utilizzati per delimitare i tag di HTML.

Se queste entità non ci fossero, in rete non troveresti nemmeno la più basilare guida sul linguaggio HTML. Quanto alla dannosità, non mi pare che queste guide (che di questi simboli ne usano a iosa) siano dannose... proprio perché quelle entità sono considerate come del testo semplice.

Attenzione però, c'è un'importante eccezione: un utente che compilasse un tuo modulo con i caratteri < e > potrebbe iniettare nel tuo sito del codice HTML maligno, per visualizzarlo senza rischiare problemi dovresti sostituire tutti i < con &lt; e tutti i > con &gt;. Se invece inserisce &lt; e &gt;, senza un'adeguata pre-elaborazione le entità saranno rese come < e > ma, per quanto detto, non causano problemi di sicurezza. Potrebbe però essere utile sostituire le & con l'entità &amp;, in modo da poter "mischiare" entità e caratteri...

Spero che si sia chiarita la cosa... Stammi bene...

L'entità &lt; e &gt; hanno proprio lo scopo che descrivi: visualizzare sullo schermo i caratteri < e >, che vengono invece utilizzati per delimitare i tag di HTML.

Se queste entità non ci fossero, in rete non troveresti nemmeno la più basilare guida sul linguaggio HTML. Quanto alla dannosità, non mi pare che queste guide (che di questi simboli ne usano a iosa) siano dannose... proprio perché quelle entità sono considerate come del testo semplice.

Attenzione però, c'è un'importante eccezione: un utente che compilasse un tuo modulo con i caratteri < e > potrebbe iniettare nel tuo sito del codice HTML maligno, per visualizzarlo senza rischiare problemi dovresti sostituire tutti i < con &lt; e tutti i > con &gt;. Se invece inserisce &lt; e &gt;, senza un'adeguata pre-elaborazione le entità saranno rese come < e > ma, per quanto detto, non causano problemi di sicurezza. Potrebbe però essere utile sostituire le & con l'entità &amp;, in modo da poter "mischiare" entità e caratteri...

Spero che si sia chiarita la cosa... Stammi bene...

Allora se ho ben capito conviene mettere htmlentities, ho fatto una prova: se inserisco codice mi mette a video il codice, se inserisco il tag lo mette poi a video come tag.
Perciò se ho ben capito htmlentities mi mette a video come viene scritto all'origine nel form col vantaggio che toglie il pericolo, è cosi?

[dementialsite]

Sta a te vedere se è il caso di usare quella funzione, sapendo che:
- se la tua idea è quella di inserire del codice HTML che dovrà essere eseguito, allora la funzione non va usata
- se invece il tuo scopo è un semplice "eco a video", per non rischiare che i tuoi utenti inseriscano del codice HTML, devi utilizzare htmlentities.

Stammi bene...

Sta a te vedere se è il caso di usare quella funzione, sapendo che:
- se la tua idea è quella di inserire del codice HTML che dovrà essere eseguito, allora la funzione non va usata
- se invece il tuo scopo è un semplice "eco a video", per non rischiare che i tuoi utenti inseriscano del codice HTML, devi utilizzare htmlentities.

Stammi bene...

E' quest'ultima visto che il mio è un form e non c'è motivo di inserire codici html pericolosi