LinkBack URL
About LinkBacksSalve a tutti.
Ho realizzato un blog, e come ogni bravo blog, c'č un campo in cui l'utente scrive il suo nome, la sua email, e una textarea dove l'utente scrive tutti i suoi commenti (tipo il blog di beppegrillo).
Come posso fare ad evitare che l'utente scriva dei tag HTML nella textarea, che possono minare la sicurezza del mio sito?
Inoltre, non voglio che TUTTI indistintamente i tag messi nella textarea vengano vietati, infatti voglio che quantomeno sia possibile, se l'utente lo vuole, inserire almeno i tag <b> </b> per il grassetto, o quelli di sottolineatura.
Il blog č realizzato in php e usa MySQL.
Visualizzazione risultati 1 fino 8 di 8
-
30-11-2005, 03.04.43 #1Guest
Tag HTML in form di registrazione. Evitare quelli pericolosi
-
30-11-2005, 08.57.40 #2Guest
devi utilizzare le espressioni regolari...
-
01-12-2005, 16.46.33 #3Guest
Ho trovato una maniera migliore...
$commento= strip_tags(($_POST['commento']),'<a><b><i><u>');
O mi sconsigli di usare questa forma?
-
01-12-2005, 16.50.02 #4Guest
Comunque attento con i <b> e </b> perche' rischi che qualcuno ti faccia diventare bold tutto il sito!
Io non accetetrei nessun tag
-
01-12-2005, 20.12.33 #5Guest
con le espressioni regolari puoi fare:
poi basta bambiare i tag ke vuoi e ripetere il codice xmq questo č molto + sicuro...Codice PHP:$testo = $_POST['testo'];
$testo = preg_replace("/\[B\](.+)\[B\]/is", "<b>\\1</b>", $testo);
echo $testo;
ciao ^__^
-
02-12-2005, 03.21.54 #6Guest
Ok grazie! Penso che a questo punto usero' questa espressione regolare. Voglio provare a fare un meccanismo di Bold a tasto, tipo quello usato in questo stesso forum.. Vediamo che ne verrā fuori...
-
02-12-2005, 15.35.29 #7Guest
cmq quel codice cambia [B] con <b> invece se vuoi contrallare se c'č inserito un tag devi usare:
prova cosiCodice PHP:if( preg_match_all("/\<b\>(.+)\<\/b\>/is", $testo, $reg) )
{
die('Il tag <b> non č consentito');
}
ciao ^__^
-
08-12-2005, 13.51.54 #8Guest
Grazie di tutto Joystock :)
In giro per la rete ho trovato questo.. Sembra un buon script per evitare i tag come ti sembra?
//if you only want to have the text within the tags, you can use this function:
function showtextintags($text)
{
$text = preg_replace("/(\<script)(.*?)(script>)/si", "dada", "$text");
$text = strip_tags($text);
$text = str_replace("<!--", "<!--", $text);
$text = preg_replace("/(\<)(.*?)(--\>)/mi", "".nl2br("\\2")."", $text);
return $text;
}Ultima modifica di attorianzo : 08-12-2005 alle ore 14.27.59
