Scholieren.com forum

Scholieren.com forum (https://forum.scholieren.com/index.php)
-   Software & Hardware (https://forum.scholieren.com/forumdisplay.php?f=20)
-   -   [php]magic_quotes_gpc e.d. (https://forum.scholieren.com/showthread.php?t=396880)

Ik 04-03-2003 16:35
[php]magic_quotes_gpc e.d.
 
Bij mij staat magic_quotes_gpc op de server geactiveerd. Werkt prima, maar mijn vraag is nou hoe of er ook zulke dingen voor html code zijn?

In het gastenboek bijvoorbeeld is dit mogenlijk

HTML-code:
<br>tekst</br>
Dat is neit zo erg, eigenlijk wel gewenst. Maar het volgende heb ik liever niet (logisch lijkt me)

[html]
blabla... </table> Hier kan iemand nou dus lekker zitten klooien
[html]

Is er een soort van standaard functie hiervoor op een server?

Dr HenDre 04-03-2003 16:43
ik weet niet of het aan mij ligt maar k snap er nix van, k ga nu eten en kom zo terug om het nog eens te bekijken :p

Ik 04-03-2003 16:46
ben ik zo onduidelijk? :D

Ik heb dus een gastenboek, maar als je daar als reactie bijvoorbeeld "</table>" invult (zonder aanhalingstekens natuurlijk) dan wordt mijn hele gastenboek door elkaar gegooid...hoe kan ik zoiets simpel voorkomen?
Liefst zonder mijn script te verdanderen, dus gewoon op de server iets.

niemand 04-03-2003 16:52
Citaat:
Ik schreef:
ben ik zo onduidelijk? :D

Ik heb dus een gastenboek, maar als je daar als reactie bijvoorbeeld "</table>" invult (zonder aanhalingstekens natuurlijk) dan wordt mijn hele gastenboek door elkaar gegooid...hoe kan ik zoiets simpel voorkomen?
Liefst zonder mijn script te verdanderen, dus gewoon op de server iets.
hmm bij input van forms die daarna in een html pagina gezet worden moet je gewoon altijd html tags escapen en nog wat dingen
net zoals je bij dingen die in een shell terecht komen altijd shell chars moet escapen

Martin 04-03-2003 16:55
Gewoon die dingen automatisch laten vervangen kan natuurlijk ook.

</table> wordt dan:

&gt;/table&lt;

oid :)

Ik 04-03-2003 17:01
Citaat:
niemand schreef:
hmm bij input van forms die daarna in een html pagina gezet worden moet je gewoon altijd html tags escapen en nog wat dingen
net zoals je bij dingen die in een shell terecht komen altijd shell chars moet escapen
Maar de bezoekers vullen die in, dus dan kan ik dat er moeilijk bijzetten. Ik zoek iets automatisch.

Ik 04-03-2003 17:02
Citaat:
Martin schreef:
Gewoon die dingen automatisch laten vervangen kan natuurlijk ook.

</table> wordt dan:

&gt;/table&lt;

oid :)
Ja, precies. automatisch. Maar zit er niet vaak een functie op de server die dat doet?
Wil het liever niet in de pagina's zetten, dat vergeet ik toch. Als het automatisch kan, net zoals die magic_qoutes...

Martin 04-03-2003 17:02
Waarom filter je niet gewoon alle HTML-tags eruit?

Martin 04-03-2003 17:06
kan je eventjes een stukje van je source laten zien waarbij je de boel uit de DB haalt?

(vergeet niet de logindata te censureren ;))

En, ik wilde ff wat testen en heb dus per ongeluk jouw gastenboek-layout verkloot :o sorry! :o

Ik 04-03-2003 17:06
Citaat:
Martin schreef:
Waarom filter je niet gewoon alle HTML-tags eruit?
maar hoe... :)

Martin 04-03-2003 17:07
Citaat:
Ik schreef:
maar hoe... :)
Ok, als de inhoud van het bericht in de variabele $message wordt opgeslagen:

PHP-code:
$message htmlspecialchars($message); 

Ik 04-03-2003 17:12
Citaat:
Martin schreef:
Ok, als de inhoud van het bericht in de variabele $message wordt opgeslagen:

PHP-code:
$message htmlspecialchars($message); 
:)
zoiets ja


zit deze functie ook vaak in een server ingebakken zoals de magic_quotes_gpc bij php?

Dr HenDre 04-03-2003 17:12
Citaat:
Martin schreef:
Ok, als de inhoud van het bericht in de variabele $message wordt opgeslagen:

PHP-code:
$message htmlspecialchars($message); 
damn volgens mij heb je in php voor alles een functie :p , aan de ene kant wel handig, maar aan de andere kant moet je het maar net allemaal uit je kop kennen

Martin 04-03-2003 17:13
Citaat:
Ik schreef:
:)
zoiets ja


zit deze functie ook vaak in een server ingebakken zoals de magic_quotes_gpc bij php?
Ik weet het niet, het zou best kunnen.

Martin 04-03-2003 17:14
Citaat:
Dr HenDre schreef:
damn volgens mij heb je in php voor alles een functie :p , aan de ene kant wel handig, maar aan de andere kant moet je het maar net allemaal uit je kop kennen
Niets uit je kop kennen:

http://nl.php.net

Zoek eventjes op HTML (logisch keyword) en je hebt de functies. Zo simpel is het.

Ik 04-03-2003 17:15
Citaat:
Martin schreef:
Ik weet het niet, het zou best kunnen.

weet iemand anders het misschien?


zat jij te klooien in mijn gastenboek? :D

Martin 04-03-2003 17:16
Citaat:
Ik schreef:
weet iemand anders het misschien?


zat jij te klooien in mijn gastenboek? :D
Citaat:
Martin schreef:
En, ik wilde ff wat testen en heb dus per ongeluk jouw gastenboek-layout verkloot :o sorry! :o
;)

Dr HenDre 04-03-2003 17:19
nu i je site zie heb ik het gevoel dat jij in mn msn lijst staat :D

DeathKnight 04-03-2003 17:21
htmlspecialchars heeft overigens niets met magic_quotes_gpc vandoen. Dat heeft met ' & " te maken.

Wat je overigens als het uitstaat met addslashes kan afvangen.

Ik 04-03-2003 17:21
Citaat:
Martin schreef:
;)
geeft niet

Citaat:
Deze functie is identiek aan htmlspecialchars() in alle opzichten, behalve dat met htmlentities() alle karakters met waarvan een HTML entity beschikbaar is worden vertaald naar de betreffende entity.
pf...jaja, duidelijke taal :D :confused: :confused:

Ik 04-03-2003 17:25
Citaat:
Dr HenDre schreef:
nu i je site zie heb ik het gevoel dat jij in mn msn lijst staat :D
dat zou best mogelijk kunnen zijn :D

P=Hp² 04-03-2003 17:30
Citaat:
Ik schreef:
geeft niet



pf...jaja, duidelijke taal :D :confused: :confused:
htmlentities() vervangt ook bijvoorbeeld '&' met '&amp;' en '"' met '&quot;'. htmlspecialchars() vervangt alleen '<' en '>'.

Martin 04-03-2003 17:35
Citaat:
P=Hp² schreef:
htmlentities() vervangt ook bijvoorbeeld '&' met '&amp;' en '"' met '&quot;'. htmlspecialchars() vervangt alleen '<' en '>'.
Dit is puur gelul:
Citaat:
Php.net:

Beschrijving
string htmlspecialchars ( string string [, int quote_style])


Bepaalde karakters hebben een speciale betekenis in HTML, en moeten daarom weergegeven worden als HTML entities als die hun betekenissen moeten behouden. Deze functie geeft een string terug waarin sommige van deze conversies al gemaakt; de conversies die gemaakt worden zijn de conversies die het meest gangbaar zijn in het alledaags web programmeren. Als je wil dat alle HTML karakter entities geconverteerd worden moet hiervoor htmlentities() worden gebruikt.

Deze functie is nuttig om te voorkomen dat gebruiker-ingevoerde tekst HTML markup bevat, zoals in gastenboeken of andere applicaties. Het optionele tweede argument, quote_style, vertelt de functie wat te doen met enkele en dubbele quote karakters. De default mode, ENT_COMPAT, is de terugwaards compatibele mode die alleen de dubbele quotes vertaalt, en dus niet de enkele quotes. Als ENT_QUOTES is geactiveerd, zullen zowel enkele als dubbele quotes worden geconverteerd en als ENT_NOQUOTES is geactiveerd zal de functie beide enkele en dubbele quotes niet converteren.

De uitgevoerde conversies zijn:


'&' (ampersand) wordt '&amp;'

'"' (dubbele quote) wordt '&quot;' wanneer ENT_NOQUOTES niet geactiveerd is.

''' (enkele quote) wordt '&#039;' alleen wanneer ENT_QUOTES geactiveerd is.

'<' (kleiner dan) wordt '&lt;'

'>' (groter dan) wordt '&>'

htmlentities() converteert dus wel de ampersand naar & amp ;

Manuzhai 05-03-2003 01:25
Citaat:
Martin schreef:
Dit is puur gelul:
Dat is geen gelul, want er staat "ook". Naast htmlentities() en htmlspecialchars() zou je ook eens kunnen kijken naar striptags().

Martin 05-03-2003 07:28
Citaat:
Manuzhai schreef:
Dat is geen gelul, want er staat "ook". Naast htmlentities() en htmlspecialchars() zou je ook eens kunnen kijken naar striptags().
Jawel, want hij zei namelijk dat htmlspecialchars() alleen de < en > vervangt.:p


Alle tijden zijn GMT +1. Het is nu 22:47.

Powered by vBulletin® Version 3.8.8
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.