Как блокировать вывод HTML тэгов в гостевую книгу?

@Оптать · Регистрация: 25.07.2007

Студворк — интернет-сервис помощи студентам

Есть гостевая книга на PHP база Postgress
Юзер вводит мессаги и может вводить html код, который потом при просмотре будет на экране. Так же чет знает что можно навводить!
Как мне прекратить.
Поможите люди добрые
Плиз!

31.12.2007, 12:03

Я делал это так:

PHP
1
2
3
4
5
6
7
if ($name!=''){
        ereg_replace(''',' '',$name);
        $name=ereg_replace('<','&lt;',$name);
        $name=ereg_replace('>','&gt;',$name);
        $sql='insert into gbook(name,email,msg) values('$name','$email','$msg')';
        mysql_query($sql,$db);
    }

т.е. перед тем как записать в базу данных я заменил символы <,>

31.12.2007, 12:07

я не дописал в предыдущем ответе, что заменяю символы < и > на служебные. Правда я использую mysql, но думаю это имеет смысл и в твоей базе.

@Оптать · 31.12.2007, 12:10 **[ТС]**

Спасибо, попробую и напишу. Есть в PHP функция что все символы на служебные меняет, но с кодировкой она как-то странно работает наверное в ISO-8859-1 все переносит. Спасибо еще раз.

@mishar · 31.12.2007, 19:19

Согласно моей некомпетентности я бы использовал вместо ereg_replace - str_replace (быстрее пашет и ман рекомендует в данном случае). А второе, если структура сайта позволяет, то замену '<' на '<' (и т.п.) делал бы при вызове из базы а не при записи в неё, т.к. экономит драгоценных 3 байта, что для меня очень много.

@Оптать · 31.12.2007, 19:40 **[ТС]**

Спасибо Мишар, переправил на str.

@theon · 31.12.2007, 21:58

тебе понадобятся эти функции
mixed str_replace (mixed search, mixed replace, mixed subject)
int empty (mixed var)
string trim (string str)
string addslashes (string str)
string stripcslashes (string str)

string htmlentities (string string [, int quote_style]) || string strip_tags (string str [, string allowable_tags])

2dimonych, не надо избретать велосипед

01.01.2008, 15:00

Я лишь передал смысл, а как это сделать, заменить ли при записи в базу или при выводе из базы решает каждый сам для себя.
Смысл в том что надо эти символы заменять, а как, это дело лично каждого.

@Оптать · 01.01.2008, 15:07 **[ТС]**

Мужики все нормально, ну что вы прямо как дети, 'я так', 'а у меня лучше', рад что вы подсказали мне путь, но не надо драться по поводу того как этот путь лучше реализовать, конечный результат есть помощь ламеру (мне), а не драка между челами.

@pipok · 04.01.2008, 07:35

Какая же это экономия? Нужно при записи менять, т.к. читают чаще, да и при чтении ждать совсем не в кайф...

@-Dark- · 04.01.2008, 11:28

Ребят, не сорьтесь!

Code
1
string htmlspecialchars (string string [, int quote_style])

вот вам замечательная функция для решения всех ваших проблем

This function is useful in preventing user-supplied text from containing HTML markup, such as in a message board or guest book application. The optional second argument, quote_style, tells the function what to do with single and double quote characters. The default mode, ENT_COMPAT, is the backwards compatible mode which only translates the double-quote character and leaves the single-quote untranslated. If ENT_QUOTES is set, both single and double quotes are translated and if ENT_NOQUOTES is set neither single nor double quotes are translated.

The translations performed are:

'&' (ampersand) becomes '&'
''' (double quote) becomes '"' when ENT_NOQUOTES is not set.
''' (single quote) becomes ''' only when ENT_QUOTES is set.
'<' (less than) becomes '<'
'>' (greater than) becomes '>'

и не мучайтесь вы с поиском и заменой...

@Оптать · 04.01.2008, 13:48 **[ТС]**

Видишь ли DarkStorm функция htmlspecialchars (string string [, int quote_style]) дает строку в кодировке в ISO-8859-1 а эта кодировка не поддерживается функцией конвертирования текста convert_cyr_string а других функций я к сожалению не знаю, поэжтому на экран можно получить откровенную билеберду, как же быть?

@-Dark- · 04.01.2008, 13:57

Правильно настрой локаль.
У меня она все отдает в той кодировке в которой получила!

@theon · 04.01.2008, 17:23

Оптать,
в php.ini измени default_charset
sorry, я забыл еще написать, что тебе может пригодится

strip_tags -- Strip HTML and PHP tags from a string

string strip_tags (string str [, string allowable_tags])

@Оптать · 06.01.2008, 08:20 **[ТС]**

Спасибо, попробую изменить кодировку по умолчанию, может еще че интересное.

Новые блоги и статьи Все статьи Все блоги /
WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Old Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .	Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114
Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .	Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .

@Оптать 0 / 0 / 0 Регистрация: 25.07.2007 Сообщений: 46

	Как блокировать вывод HTML тэгов в гостевую книгу? 31.12.2007, 11:02. Показов 3734. Ответов 14 Метки нет (Все метки) Есть гостевая книга на PHP база Postgress Юзер вводит мессаги и может вводить html код, который потом при просмотре будет на экране. Так же чет знает что можно навводить! Как мне прекратить. Поможите люди добрые Плиз! 0

dimonych
	31.12.2007, 12:07
	я не дописал в предыдущем ответе, что заменяю символы < и > на служебные. Правда я использую mysql, но думаю это имеет смысл и в твоей базе.

@Оптать 0 / 0 / 0 Регистрация: 25.07.2007 Сообщений: 46
	31.12.2007, 12:10 [ТС]
	Спасибо, попробую и напишу. Есть в PHP функция что все символы на служебные меняет, но с кодировкой она как-то странно работает наверное в ISO-8859-1 все переносит. Спасибо еще раз. 0

@mishar 0 / 0 / 0 Регистрация: 13.12.2007 Сообщений: 46
	31.12.2007, 19:19
	Согласно моей некомпетентности я бы использовал вместо ereg_replace - str_replace (быстрее пашет и ман рекомендует в данном случае). А второе, если структура сайта позволяет, то замену '<' на '<' (и т.п.) делал бы при вызове из базы а не при записи в неё, т.к. экономит драгоценных 3 байта, что для меня очень много. 0

@Оптать 0 / 0 / 0 Регистрация: 25.07.2007 Сообщений: 46
	31.12.2007, 19:40 [ТС]
	Спасибо Мишар, переправил на str. 0

@theon 0 / 0 / 0 Регистрация: 31.12.2007 Сообщений: 26
	31.12.2007, 21:58
	тебе понадобятся эти функции mixed str_replace (mixed search, mixed replace, mixed subject) int empty (mixed var) string trim (string str) string addslashes (string str) string stripcslashes (string str) string htmlentities (string string [, int quote_style]) \|\| string strip_tags (string str [, string allowable_tags]) 2dimonych, не надо избретать велосипед 0

dimonych
	01.01.2008, 15:00
	Я лишь передал смысл, а как это сделать, заменить ли при записи в базу или при выводе из базы решает каждый сам для себя. Смысл в том что надо эти символы заменять, а как, это дело лично каждого.

@Оптать 0 / 0 / 0 Регистрация: 25.07.2007 Сообщений: 46
	01.01.2008, 15:07 [ТС]
	Мужики все нормально, ну что вы прямо как дети, 'я так', 'а у меня лучше', рад что вы подсказали мне путь, но не надо драться по поводу того как этот путь лучше реализовать, конечный результат есть помощь ламеру (мне), а не драка между челами. 0

@pipok 0 / 0 / 0 Регистрация: 21.04.2007 Сообщений: 156
	04.01.2008, 07:35
	Какая же это экономия? Нужно при записи менять, т.к. читают чаще, да и при чтении ждать совсем не в кайф... 0

@Оптать 0 / 0 / 0 Регистрация: 25.07.2007 Сообщений: 46
	04.01.2008, 13:48 [ТС]
	Видишь ли DarkStorm функция htmlspecialchars (string string [, int quote_style]) дает строку в кодировке в ISO-8859-1 а эта кодировка не поддерживается функцией конвертирования текста convert_cyr_string а других функций я к сожалению не знаю, поэжтому на экран можно получить откровенную билеберду, как же быть? 0

@-Dark- 0 / 0 / 0 Регистрация: 02.01.2008 Сообщений: 81
	04.01.2008, 13:57
	Правильно настрой локаль. У меня она все отдает в той кодировке в которой получила! 0

@theon 0 / 0 / 0 Регистрация: 31.12.2007 Сообщений: 26
	04.01.2008, 17:23
	Оптать, в php.ini измени default_charset sorry, я забыл еще написать, что тебе может пригодится strip_tags -- Strip HTML and PHP tags from a string string strip_tags (string str [, string allowable_tags]) 0

@Оптать 0 / 0 / 0 Регистрация: 25.07.2007 Сообщений: 46
	06.01.2008, 08:20 [ТС]
	Спасибо, попробую изменить кодировку по умолчанию, может еще че интересное. 0