Forum Mjukvara Programmering och digitalt skapande Tråd Inlägg

[PHP] Tillåta endast vissa html taggar.

1
Skriv svar
Permalänk
Medlem

[PHP] Tillåta endast vissa html taggar.

Tjenare!

Håller på att programmerar ett system, som inefattar bilder som användarna skall få kommentera. Tidigare gjorde jag somså att jag filtrerade bort alla javascript och all html.

Men nu vill jag tillåta användandet av <p> och <b>. Hur ska jag lösa detta?, jag vill ju nämligen att de andra taggarna fortfarande skall "filtreras bort".

Någon som har något tips eller någon ide?

/MVH Tomas

Visa signatur

//Toombass

Redigera
Citera flera Citera
Permalänk
Medlem

Jag antar att du omvandlar alla html tecken till "html-encoding", alltså så "<" blir till "<" osv...

i så fall är det bara att köra:

$kommentar = str_replace(array("<p>", "</p>", "<b>", "</b>"), array("<p>", "</p>", "<b>", "</b>"), $kommentar);
Redigera
Citera flera Citera
Permalänk
Medlem 
<?php echo strip_tags($text, '<p><b>'); ?>
Visa signatur

Brass knuckles and a 2x4

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av jonasc

<?php echo strip_tags($text, '<p><b>'); ?>

Skulle rekommendera (inget fel på koden, mer ett påpekande till trådskaparen) att man tillåter åtminstone <strong> (eftersom <b> är deprecated) och helst <em>/<i> också.

Visa signatur

Blogg. Webboken. Pinboard, Last.fm, Facebook, Kongregate. W3fools.
Validera din HTML, men skryt inte om att du gör det.
Använd HTML5 och kom ihåg semantiken!

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av You
eftersom <b> är deprecated

Vart?

Och om man ska använda strip_tags måste man se till att all kod man kör igenom den är valid HTML, annars kanske den gör fel.

Visa signatur

Ännu en webbplats utan innehåll, fast den är ju ganska snygg att kolla på iallafall.

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av cic
Vart?

Fel av mig, inte officiellt deprecated men i princip är den det eftersom man rekommenderas använda semantisk kod, och b är inte det. (B = Bold => icke-semantisk, strong = Stark betoning => Semantisk)

Visa signatur

Blogg. Webboken. Pinboard, Last.fm, Facebook, Kongregate. W3fools.
Validera din HTML, men skryt inte om att du gör det.
Använd HTML5 och kom ihåg semantiken!

Redigera
Citera flera Citera
Permalänk
Medlem

Jag rekommenderar att du inte använder strip_tags då den skiter i attributer. Någon vänligt sinnad person kan lägga till otrevliga javascript och annat i elementen. Istället skulle jag använt preg_replace() med en väldigt strikt pattern (ta en titt på http://php.net/pcre samt http://regular-expressions.info )

Redigera
Citera flera Citera
Permalänk
Medlem

Okej!, tack för alla tips!

Visa signatur

//Toombass

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av vigge89
Jag rekommenderar att du inte använder strip_tags då den skiter i attributer. Någon vänligt sinnad person kan lägga till otrevliga javascript och annat i elementen. Istället skulle jag använt preg_replace() med en väldigt strikt pattern (ta en titt på http://php.net/pcre samt http://regular-expressions.info )

Bra poäng. XSS är en sån jävla bitch!

Visa signatur

Brass knuckles and a 2x4

Redigera
Citera flera Citera
1
Skriv svar