Visualizzazione dei risultati da 1 a 4 su 4

Discussione: Problema htmlentities

  1. #1
    Utente di HTML.it
    Registrato dal
    Mar 2011
    Messaggi
    83

    Problema htmlentities

    Ciao a tutti!
    Vorrei avere se è possibile un consiglio da voi. Sto progettando un sito web e ho riscontrato questo "problema" che forse non lo è...
    cmq nel mio sito è possibile inviare commenti e quindi questi si visualizzeranno nel sito sotto forma di testo. Quando uno scrive un commento, questo viene provessato con la funzione mysql_escape_string e poi inviato al database, poi quando lo voglio stampare a video, questo riviene riprocessato con l'htmlentities, però ciè un problema... se lo processo con htmlentities e nel testo ci sono delle parole accentate, qui si vede anche il codice html per le parole accentate. Però ho notato che se tolgo l'htmlentities il codice html non si vede + e la parola accentata si vede correttamente. Ora io utilizzo la funzione htmlentities per evitare le xss, però alla fine senza di essa ho provato a inserire un commento inserendo come prova uno script del tipo:
    codice:
    ("<script>while(true){alert("Ah ah ah");}</script>)
    e nel video mi stampa il codice html dello script, quindi non mi esegue nulla... secondo voi posso anche omettere di processare i vari commenti con la funzione htmlentities? Grazie mille.

  2. #2
    Moderatore di PHP L'avatar di Alhazred
    Registrato dal
    Oct 2003
    Messaggi
    12,503
    Invece di solo <script> fa anche una prova con <script type="text/javascript"> vedi se continua a non fare niente.

  3. #3
    Utente di HTML.it
    Registrato dal
    Mar 2011
    Messaggi
    83
    ho provato a fare <script type="text/javascript"> e continua a restituirmi solo il codice html.

  4. #4
    Utente di HTML.it
    Registrato dal
    Mar 2011
    Messaggi
    83
    scusatemi tanto, ma mi sono appena accorto che utilizzo l'htmlentities sia quando inserisco il commento nel database sia quando vado a leggere il commento, ecco perchè succede questo... mi sa che devo utilizzare questo procedimento solamente in lettura o in scrittura
    Grazie cmq per il supporto!

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.