Ciao a tutti !
Vi pongo il mio quesito:
Ho una pagina con un form che contiene, tra le altre cose, anche una textarea.
Al submit, il contenuto di questa viene salvato in un file di testo sul server e dalla stessa pagina è possibile riaprire il testo per modificarlo. Mi sono chiesto: ma se l'utente scrive "</textarea>" all'interno della textarea (e magari aggiunge anche altro codice HTML) ?
Ovviamente al momento di ricaricare il testo dal file, succede un patatrac !
Dato che non posso bypassare il problema sottoponendo il testo ad un HTMLEncode, ho temporaneamente risolto passando il testo immesso ad una funzione di "ottimizzazione" che altera - in questo caso - il tag incriminato.
Lo stesso problema potrebbe verificarsi anche con campi input,
in questo caso l'utente riuscirebbe a chiudere l'attributo value e il tag semplicemente scrivendo "/> nel campo.
Per questo pensavo di adottare lo stesso sistema utilizzato per la textarea, anche se mi scoccia un po' impedire all'utente di digitare certi caratteri.
Avete idee migliori o avete già affrontato il problema ?
Ciao
Simo
Rispondi quotando
