Tipo.... se o cara, maliciosamente, digitar qualquer tag html ou JS no form e enviar ao BD isso poderá causar falha no programa.... então pensei em usar o str_replace para retirar algumas tags.... alguém jah usou isso e funcionou?!

Posted 23/07/2004, 12:08
Posted 23/07/2004, 12:28
str_replace("@#$!)"outra_palavra";$texto);
echo htmlspecialchars("$var", ENT_QUOTES);
Posted 23/07/2004, 13:16
Posted 23/07/2004, 13:19
como ficaria a inserção no banco??Você não precisa usar str_replace, existe outra função pronta para eliminar os códigos html:
htmlspecialchars();
Faça dessa forma:
Ao gravar no banco de dados utilize addslashes(), e ao imprimir os resultados na tela, utilize:
$texto = stripslashes($texto);
$texto = htmlspecialchars($texto);
$texto = nl2br($texto);
Isso elimina as barras "\" que foram adicionadas pelo addslashes, limpa os códigos html colocando-os como texto mesmo, e muda os enters para <br>
Agora um comentário, se estiver acontecendo um erro ao postar seus tópicos, não poste novamente, pois ele já foi enviado, sempre que acontecer o erro, verifique para ver se não foi postado já. Você teve alguns posts repedidos hein
Posted 23/07/2004, 13:38
$texto = $_POST['mensagem']; // Imagine o texto Mario's Bro
$texto = addslashes($texto); // Aqui ele iria ficar Mario\'s Bro
mysql_query("INSERT INTO tabela (mensagem) VALUES ('$texto')");
Posted 23/07/2004, 13:43
Posted 23/07/2004, 14:12
Agora um comentário, se estiver acontecendo um erro ao postar seus tópicos, não poste novamente, pois ele já foi enviado, sempre que acontecer o erro, verifique para ver se não foi postado já . Você teve alguns posts repedidos hein
Posted 23/07/2004, 14:16
Posted 23/07/2004, 14:34
PHP |
<?php $texto = "Olá <b>Usuário</b>, <a href=teste.html>clique aqui</a> e visite meu site!"; $texto = strip_tags($texto, '<b><i><u>'); ?> |
Posted 23/07/2004, 14:48
Posted 23/07/2004, 15:08
Posted 23/07/2004, 15:08
Posted 23/07/2004, 15:16
Posted 23/07/2004, 15:22
Posted 23/07/2004, 15:26
Cara nem pensar em register_globals ON.... isso é doidera....Quanto a segurança é bom trabalhar com o register_globals em OFF, não fazer permição 777 para as pastas que você irá enviar arquivos, mas sim envia-los por funções de ftp, e restringuir os tipos de arquivos que podem ser enviados. Já imaginou ele enviar um php com alguns funções "extras"?
0 membro(s), 1 visitante(s) e 0 membros anônimo(s)