[php]magic_quotes_gpc e.d.

Bij mij staat magic_quotes_gpc op de server geactiveerd. Werkt prima, maar mijn vraag is nou hoe of er ook zulke dingen voor html code zijn?

In het gastenboek bijvoorbeeld is dit mogenlijk

HTML-code:

<br>tekst</br>

Dat is neit zo erg, eigenlijk wel gewenst. Maar het volgende heb ik liever niet (logisch lijkt me)

[html]
blabla... </table> Hier kan iemand nou dus lekker zitten klooien
[html]

Is er een soort van standaard functie hiervoor op een server?

[Dr HenDre]

ik weet niet of het aan mij ligt maar k snap er nix van, k ga nu eten en kom zo terug om het nog eens te bekijken

ben ik zo onduidelijk?

Ik heb dus een gastenboek, maar als je daar als reactie bijvoorbeeld "</table>" invult (zonder aanhalingstekens natuurlijk) dan wordt mijn hele gastenboek door elkaar gegooid...hoe kan ik zoiets simpel voorkomen?
Liefst zonder mijn script te verdanderen, dus gewoon op de server iets.

[niemand]

Citaat:

Ik schreef:
ben ik zo onduidelijk?

Ik heb dus een gastenboek, maar als je daar als reactie bijvoorbeeld "</table>" invult (zonder aanhalingstekens natuurlijk) dan wordt mijn hele gastenboek door elkaar gegooid...hoe kan ik zoiets simpel voorkomen?
Liefst zonder mijn script te verdanderen, dus gewoon op de server iets.

hmm bij input van forms die daarna in een html pagina gezet worden moet je gewoon altijd html tags escapen en nog wat dingen
net zoals je bij dingen die in een shell terecht komen altijd shell chars moet escapen

[Martin]

Gewoon die dingen automatisch laten vervangen kan natuurlijk ook.

</table> wordt dan:

&gt;/table&lt;

oid

Citaat:

niemand schreef:
hmm bij input van forms die daarna in een html pagina gezet worden moet je gewoon altijd html tags escapen en nog wat dingen
net zoals je bij dingen die in een shell terecht komen altijd shell chars moet escapen

Maar de bezoekers vullen die in, dus dan kan ik dat er moeilijk bijzetten. Ik zoek iets automatisch.

Citaat:

Martin schreef:
Gewoon die dingen automatisch laten vervangen kan natuurlijk ook.

</table> wordt dan:

&gt;/table&lt;

oid

Ja, precies. automatisch. Maar zit er niet vaak een functie op de server die dat doet?
Wil het liever niet in de pagina's zetten, dat vergeet ik toch. Als het automatisch kan, net zoals die magic_qoutes...

[Martin]

Waarom filter je niet gewoon alle HTML-tags eruit?

[Martin]

kan je eventjes een stukje van je source laten zien waarbij je de boel uit de DB haalt?

(vergeet niet de logindata te censureren )

En, ik wilde ff wat testen en heb dus per ongeluk jouw gastenboek-layout verkloot sorry!

Citaat:

Martin schreef:
Waarom filter je niet gewoon alle HTML-tags eruit?

maar hoe...

[Martin]

Citaat:

Ik schreef:
maar hoe...

Ok, als de inhoud van het bericht in de variabele $message wordt opgeslagen:

PHP-code:

$message = htmlspecialchars($message); 


Citaat:

Martin schreef:
Ok, als de inhoud van het bericht in de variabele $message wordt opgeslagen:

PHP-code:

$message = htmlspecialchars($message); 


zoiets ja


zit deze functie ook vaak in een server ingebakken zoals de magic_quotes_gpc bij php?

[Dr HenDre]

Citaat:

Martin schreef:
Ok, als de inhoud van het bericht in de variabele $message wordt opgeslagen:

PHP-code:

$message = htmlspecialchars($message); 


damn volgens mij heb je in php voor alles een functie , aan de ene kant wel handig, maar aan de andere kant moet je het maar net allemaal uit je kop kennen

[Martin]

Citaat:

Ik schreef:

zoiets ja


zit deze functie ook vaak in een server ingebakken zoals de magic_quotes_gpc bij php?

Ik weet het niet, het zou best kunnen.

[Martin]

Citaat:

Dr HenDre schreef:
damn volgens mij heb je in php voor alles een functie , aan de ene kant wel handig, maar aan de andere kant moet je het maar net allemaal uit je kop kennen

Niets uit je kop kennen:

http://nl.php.net

Zoek eventjes op HTML (logisch keyword) en je hebt de functies. Zo simpel is het.

Citaat:

Martin schreef:
Ik weet het niet, het zou best kunnen.

weet iemand anders het misschien?


zat jij te klooien in mijn gastenboek?

[Martin]

Citaat:

Ik schreef:
weet iemand anders het misschien?


zat jij te klooien in mijn gastenboek?

Citaat:

Martin schreef:
En, ik wilde ff wat testen en heb dus per ongeluk jouw gastenboek-layout verkloot sorry!

[Dr HenDre]

nu i je site zie heb ik het gevoel dat jij in mn msn lijst staat

[DeathKnight]

htmlspecialchars heeft overigens niets met magic_quotes_gpc vandoen. Dat heeft met ' & " te maken.

Wat je overigens als het uitstaat met addslashes kan afvangen.

Citaat:

Martin schreef:

geeft niet

Citaat:

Deze functie is identiek aan htmlspecialchars() in alle opzichten, behalve dat met htmlentities() alle karakters met waarvan een HTML entity beschikbaar is worden vertaald naar de betreffende entity.

pf...jaja, duidelijke taal

Citaat:

Dr HenDre schreef:
nu i je site zie heb ik het gevoel dat jij in mn msn lijst staat

dat zou best mogelijk kunnen zijn

[P=Hp²]

Citaat:

Ik schreef:
geeft niet



pf...jaja, duidelijke taal

htmlentities() vervangt ook bijvoorbeeld '&' met '&amp;' en '"' met '&quot;'. htmlspecialchars() vervangt alleen '<' en '>'.

[Martin]

Citaat:

P=Hp² schreef:
htmlentities() vervangt ook bijvoorbeeld '&' met '&amp;' en '"' met '&quot;'. htmlspecialchars() vervangt alleen '<' en '>'.

Dit is puur gelul:

Citaat:

Php.net:

Beschrijving
string htmlspecialchars ( string string [, int quote_style])


Bepaalde karakters hebben een speciale betekenis in HTML, en moeten daarom weergegeven worden als HTML entities als die hun betekenissen moeten behouden. Deze functie geeft een string terug waarin sommige van deze conversies al gemaakt; de conversies die gemaakt worden zijn de conversies die het meest gangbaar zijn in het alledaags web programmeren. Als je wil dat alle HTML karakter entities geconverteerd worden moet hiervoor htmlentities() worden gebruikt.

Deze functie is nuttig om te voorkomen dat gebruiker-ingevoerde tekst HTML markup bevat, zoals in gastenboeken of andere applicaties. Het optionele tweede argument, quote_style, vertelt de functie wat te doen met enkele en dubbele quote karakters. De default mode, ENT_COMPAT, is de terugwaards compatibele mode die alleen de dubbele quotes vertaalt, en dus niet de enkele quotes. Als ENT_QUOTES is geactiveerd, zullen zowel enkele als dubbele quotes worden geconverteerd en als ENT_NOQUOTES is geactiveerd zal de functie beide enkele en dubbele quotes niet converteren.

De uitgevoerde conversies zijn:


'&' (ampersand) wordt '&amp;'

'"' (dubbele quote) wordt '&quot;' wanneer ENT_NOQUOTES niet geactiveerd is.

''' (enkele quote) wordt '&#039;' alleen wanneer ENT_QUOTES geactiveerd is.

'<' (kleiner dan) wordt '&lt;'

'>' (groter dan) wordt '&>'

htmlentities() converteert dus wel de ampersand naar & amp ;

[Manuzhai]

Citaat:

Martin schreef:
Dit is puur gelul:

Dat is geen gelul, want er staat "ook". Naast htmlentities() en htmlspecialchars() zou je ook eens kunnen kijken naar striptags().

[Martin]

Citaat:

Manuzhai schreef:
Dat is geen gelul, want er staat "ook". Naast htmlentities() en htmlspecialchars() zou je ook eens kunnen kijken naar striptags().

Jawel, want hij zei namelijk dat htmlspecialchars() alleen de < en > vervangt.