код php в форме

[MximuS]

Здравствуйте!

Проблема следующая:

Написал скрипт добавляет новости на сайт, но проблема, если в новости присутствует код php или JS, то он исполняется несмотря на заключение в BBcode

Что можно сделать что бы код не исполнялся?

[s0rr0w]

  MximuS said:

Здравствуйте!

Проблема следующая:

Написал скрипт добавляет новости на сайт, но проблема, если в новости присутствует код php или JS, то он исполняется несмотря на заключение в BBcode

Что можно сделать что бы код не исполнялся?

Заменять script на scri pt, <? на < ?

[MximuS]

  s0rr0w said:

Заменять script на scri pt, <? на < ?

Наверно это не поможет, так как код выложен для копирования, а если так сделать то при копировании он работать не будет.

На многих сайтах и даже на этом, когда пишешь php код он встовляется в отдельную область и не исполняется, подскажите как так сделать или хотя бы где об этом почитать.

[Int]

Добавляется через eval что ли? о_О Как php-код может выполниться если он выводится через echo?

<?php

readfile('index.php');

?>

Вот с какой стати, по-вашему, этот кусок должен вдруг выполниться?

Или новости вставляются через include вместе file_get_contents (если каким-то чудом они вдруг хранятся в файлах)?

А для яваскрипта можно применять htmlspecialchars(), это самое простое.

Edited July 28, 2010 by Int

[MximuS]

  Int said:

Добавляется через eval что ли? о_О Как php-код может выполниться если он выводится через echo?

<?php

readfile('index.php');

?>

Вот с какой стати, по-вашему, этот кусок должен вдруг выполниться?

Или новости вставляются через include вместе file_get_contents (если каким-то чудом они вдруг хранятся в файлах)?

А для яваскрипта можно применять htmlspecialchars(), это самое простое.

Насчёт явы спасибо.

Я так понимаю надо прописать

имя переменной с текстом = htmlspecialchars(имя переменной с текстом);

а насчёт php судя по всему выполняется при добавление новости.

Выводит такую ошибку:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'opencaptcha']=='failed') { echo "<script>alert('You Did Not Fill In T' at line 1

Какой фильтр поставить что бы данные добавлялись.

[s0rr0w]

Хех, так вам нужно просто htmlspecialchars

[MximuS]

  s0rr0w said:

Хех, так вам нужно просто htmlspecialchars

Сделал, теперь когда выводит текст из БД не обрабатывает HTML

Edited July 29, 2010 by MximuS

[rus]

для кода создать отдельную форму добавления в бд и на эту переменную применять htmlspecialchars и можно еще заключить ее в тег <pre>.

а вообще, не париться, а скачать и установить tiny mce и доп. плагин к нему для вывода кода на страницу.

[Int]

  MximuS said:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'opencaptcha']=='failed') { echo "<script>alert('You Did Not Fill In T' at line 1

Какой фильтр поставить что бы данные добавлялись.

mysql_real_escape_string()?

[MximuS]

  Int said:

mysql_real_escape_string()?

спасибо, теперь всё работает как надо.

[MximuS]

нет, не всё.

в тексте появились обратные слеши "\", возле ковычек.

Я по пробовал сделать так:

$names = str_replace('\"','"',$names);
$names = str_replace("\'","'",$names);

Однако почему то убрало не все слеши, есть ли специальная функция для этого?

[stars]

  MximuS said:

нет, не всё.

в тексте появились обратные слеши "\", возле ковычек.

Я по пробовал сделать так:

$names = str_replace('\"','"',$names);
$names = str_replace("\'","'",$names);

Однако почему то убрало не все слеши, есть ли специальная функция для этого?

  Quote

str_replace( '\"' , '"' ,$names)

$names = str_replace( "\'" , "'" ,$names);

Что вы хотите вместо слешей? )

Вы бы хоть почитать что делает str_replace в гугле или там яндексе...

Edited July 29, 2010 by stars

[rus]

а stripslashes уже не катит?