Hirdetés

Új hozzászólás Aktív témák

  • lordjancso

    senior tag

    válasz DeltaPower #12813 üzenetére

    Na igen, de tegyül fel, hogy egy olyan fórumot írsz, ahol nincsenek saját tag-jei a hozzászólásoknak, mint mondjuk itt a PH!-n, hanem van egy sima WYSIWYG text editor, amiben szeretéd engedélyezni a hozzászólásokban a link beszúrását. Így a strip_tags függvénnyel nem szedheted ki a linkeket, tehát minimális trükközéssel lehet onclick eseményeket létrehozni a linkekre.

    (#12814) PeachMan:
    Erről az jutott eszembe, hogy ha JS-sel nem engedsz beírni pár karaktert (gondolok itt a ' (aposztróf) és " (idézőjel) karakterekre), az már jó, viszont csináld meg ugyanezt a szűrést szerver oldalon is, tehát keress a sztringben aposztrófokat és idézőjeleket, ha van, vedd ki mindet.
    Tehát ha kikerüli a JS ellenőrzést, akkor is ott lesz a PHP védelem.
    Aztán szerintem problem solved, mert aposztróf és idézőjel nélkül nem fognak neked működőképes javascript kódot írni.

Új hozzászólás Aktív témák