consentire solo odice object

**pax_partout** · 01-07-2008, 12:33

Ciao ragazzi,
in una scheda pubblica permetto agli utenti di inserire codice per alimentare un db di trailer di film. Quando in amministrazione la redazione va o meno ad approvare, devo fargli vedere il video.
il problema e' che l'utente puo' inserire anche codice pericolo, es javascript o exec o qualsiasi codice che puo' provocar danni.
Se metto tutto in htmlentities la redazione non ha un riscontro se il codice inserito dall'utente e valid oppure no, perche vedo stampato a video il tag object con tutti i parametri.
Come posso fare in amministrazione per far vedere a loro il video e bloccare contributi pericolosi?

**cubalibre810** · 01-07-2008, 12:41

Prova con

Codice PHP:


strip_tags($codice, '<object>');

**pax_partout** · 01-07-2008, 12:59

grazie funziona:
strip_tags($record['video'], '<object>' . '<param>' . '<embed>')

**pax_partout** · 01-07-2008, 17:06

un amico programmatore mi ha detto che dovrei controllare anche gli attributi dei singoli tag perche se in uno di essi mette abbinato un evento tipo onload onmouseover etc puo caricare codice esterno.
Ora, dopo aver isolato solo i tag che mi servono realmente, come posso isolare ed eliminare gli attributi pericolosi?

Discussione: consentire solo odice object

Strumenti discussione

Ricerca discussione

Visualizza

consentire solo odice object

Permessi di invio