Jump to content
  • 0

код php в форме

MximuS

Asked by MximuS,

 Share

Question

MximuS Explorer

MximuS

Posted
Posted

Здравствуйте!

Проблема следующая:

Написал скрипт добавляет новости на сайт, но проблема, если в новости присутствует код php или JS, то он исполняется несмотря на заключение в BBcode

Что можно сделать что бы код не исполнялся?

Link to comment
Share on other sites

12 answers to this question

Recommended Posts

  • 0
s0rr0w Explorer

s0rr0w

Posted
Posted
Здравствуйте!

Проблема следующая:

Написал скрипт добавляет новости на сайт, но проблема, если в новости присутствует код php или JS, то он исполняется несмотря на заключение в BBcode

Что можно сделать что бы код не исполнялся?

Заменять script на scri pt, <? на < ?

Link to comment
Share on other sites
  • 0
MximuS Explorer

MximuS

Posted
  • Author
Posted
Заменять script на scri pt, <? на < ?

Наверно это не поможет, так как код выложен для копирования, а если так сделать то при копировании он работать не будет.

На многих сайтах и даже на этом, когда пишешь php код он встовляется в отдельную область и не исполняется, подскажите как так сделать или хотя бы где об этом почитать.

Link to comment
Share on other sites
  • 0
Int Explorer

Int

Posted
Posted (edited)

Добавляется через eval что ли? о_О Как php-код может выполниться если он выводится через echo?

<?php

readfile('index.php');

?>

Вот с какой стати, по-вашему, этот кусок должен вдруг выполниться?

Или новости вставляются через include вместе file_get_contents (если каким-то чудом они вдруг хранятся в файлах)?

А для яваскрипта можно применять htmlspecialchars(), это самое простое.

Edited by Int
Link to comment
Share on other sites
  • 0
MximuS Explorer

MximuS

Posted
  • Author
Posted
Добавляется через eval что ли? о_О Как php-код может выполниться если он выводится через echo?

<?php

readfile('index.php');

?>

Вот с какой стати, по-вашему, этот кусок должен вдруг выполниться?

Или новости вставляются через include вместе file_get_contents (если каким-то чудом они вдруг хранятся в файлах)?

А для яваскрипта можно применять htmlspecialchars(), это самое простое.

Насчёт явы спасибо.

Я так понимаю надо прописать

имя переменной с текстом = htmlspecialchars(имя переменной с текстом);

а насчёт php судя по всему выполняется при добавление новости.

Выводит такую ошибку:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'opencaptcha']=='failed') { echo "<script>alert('You Did Not Fill In T' at line 1

Какой фильтр поставить что бы данные добавлялись.

Link to comment
Share on other sites
  • 0
rus Explorer

rus

Posted
Posted

для кода создать отдельную форму добавления в бд и на эту переменную применять htmlspecialchars и можно еще заключить ее в тег <pre>.

а вообще, не париться, а скачать и установить tiny mce и доп. плагин к нему для вывода кода на страницу.

Link to comment
Share on other sites
  • 0
Int Explorer

Int

Posted
Posted 
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'opencaptcha']=='failed') { echo "<script>alert('You Did Not Fill In T' at line 1

Какой фильтр поставить что бы данные добавлялись.

mysql_real_escape_string()?
Link to comment
Share on other sites
  • 0
MximuS Explorer

MximuS

Posted
  • Author
Posted

нет, не всё.

в тексте появились обратные слеши "\", возле ковычек.

Я по пробовал сделать так:

$names = str_replace('\"','"',$names);
$names = str_replace("\'","'",$names);

Однако почему то убрало не все слеши, есть ли специальная функция для этого?

Link to comment
Share on other sites
  • 0
stars Explorer

stars

Posted
Posted (edited)
нет, не всё.

в тексте появились обратные слеши "\", возле ковычек.

Я по пробовал сделать так:

$names = str_replace('\"','"',$names);
$names = str_replace("\'","'",$names);

Однако почему то убрало не все слеши, есть ли специальная функция для этого?

:rolleyes:

str_replace( '\"' , '"' ,$names)

$names = str_replace( "\'" , "'" ,$names);

Что вы хотите вместо слешей? )

Вы бы хоть почитать что делает str_replace в гугле или там яндексе...

Edited by stars
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. See more about our Guidelines and Privacy Policy

  I accept