link inserito e non formattato

**ca-j** · 10-03-2005, 11:20

Salve,
ho costruito un sistema per la visualizzazione di news on line, con tanto di pannello di amministrazione per la modifica e l'inserimento di nuove notizie.
Il problema è quando inserisco un link dal pannello, questo non mi viene visualizzato, ma mi appare tipo testo (<a href="...).
Come devo fare??

**mircov** · 10-03-2005, 11:28

Hai provato a visualizzare il sorgente generato? Può darsi che la tua stringa venga automaticamente trasformata. Fammi sapere se nel sorgente il link appare normalmente o appare così <a href="link">link</a>

**ca-j** · 10-03-2005, 11:44

Caramba y carambita!
Avevo staroba nel file di inserzione

$fecha = str_replace("<", "<", $fecha);
$fecha = str_replace(">", ">", $fecha);
$hora = str_replace("<", "<", $hora);
$hora = str_replace(">", ">", $hora);
$noticia = str_replace("<", "<", $noticia);
$noticia = str_replace(">", ">", $noticia);
$cuerpo = str_replace("<", "<", $cuerpo);
$cuerpo = str_replace(">", ">", $cuerpo);

Ad ogni modo grazie.

**mircov** · 10-03-2005, 11:58

Quelli li devi lasciare!!!!
Servono per sicurezza. Prevengono l'sqlinjection.
Infatti trasformano tutti i caratteri pericolosi in caratteri html (in realtà non si chiamano così ma il nome corretto ora mi sfugge!

). Cmq lascia quella sintassi se vuoi che la tua applicazione sia almeno un po' sicura!

**ca-j** · 10-03-2005, 12:03

está bien. li lascio... ma allora come visualizzo il link?

**mircov** · 10-03-2005, 12:15

Ecco. Problema. Non lo so. Però se cerchi in rete ci sono degli script che ti permettono di inserire il testo e te lo formattano, te lo rendono sicuro, ecc. Un po' come quando scrivi in questo forum. Una volta mi hanno consigliato HTMLarea ma ancora non ho avuto occasione di provarlo. Mi hanno detto che era buono come script.

**ca-j** · 10-03-2005, 12:31

un ultima cosa. non ho ben capito che potrebbe succedere togliendo gli 'str_replace'. potrei ometterli, visto che l'inserzione delle news è ristretta solo a pochi amministratori?

gracias amigo

**JHammer** · 10-03-2005, 12:33

Dipende da quello che devi fare cmq.

Per evitare l'sql injection basta che filtri il testo attraverso la funzione mysql_escape_string

I caratteri che sostituisci non prevengono l'sql injection ma permettono di visualizzare i caratteri speciali < e >.
Se su una pagina html vedi il simbolo < significa che nel codice sarà &lt;

Se vuoi che il link appaia come tale occorre evitare il parsing dello stesso.

Il modo più semplice potrebbe invece essere quello di disabilitare TUTTI i tag e inserire i link o altri tag con una sintassi diversa. Per esempio con parentesi quadre [] invece che con <>.
Al momento della visualizzazione effettui un parsing del codice (così hai pure la libertà di aggiungere una formattazione più complessa).

**JHammer** · 10-03-2005, 12:37

Per evitare di aggiungere backslash all'infinito...usa al limite

addslashes() per scrivere la query
stripslashes() per mandare a video o textarea

**mircov** · 10-03-2005, 13:00

JHammer ha ragione. Sono stato impreciso.
E mi sembra anche che i consigli che ti ha dato siano ottimi.

Discussione: link inserito e non formattato

Strumenti discussione

Ricerca discussione

Visualizza

link inserito e non formattato

Permessi di invio