Как блокировать вывод HTML тэгов в гостевую книгу?

@Оптать · Регистрация: 25.07.2007

Студворк — интернет-сервис помощи студентам

Есть гостевая книга на PHP база Postgress
Юзер вводит мессаги и может вводить html код, который потом при просмотре будет на экране. Так же чет знает что можно навводить!
Как мне прекратить.
Поможите люди добрые
Плиз!

31.12.2007, 12:03

Я делал это так:

PHP
1
2
3
4
5
6
7
if ($name!=''){
        ereg_replace(''',' '',$name);
        $name=ereg_replace('<','&lt;',$name);
        $name=ereg_replace('>','&gt;',$name);
        $sql='insert into gbook(name,email,msg) values('$name','$email','$msg')';
        mysql_query($sql,$db);
    }

т.е. перед тем как записать в базу данных я заменил символы <,>

31.12.2007, 12:07

я не дописал в предыдущем ответе, что заменяю символы < и > на служебные. Правда я использую mysql, но думаю это имеет смысл и в твоей базе.

@Оптать · 31.12.2007, 12:10 **[ТС]**

Спасибо, попробую и напишу. Есть в PHP функция что все символы на служебные меняет, но с кодировкой она как-то странно работает наверное в ISO-8859-1 все переносит. Спасибо еще раз.

@mishar · 31.12.2007, 19:19

Согласно моей некомпетентности я бы использовал вместо ereg_replace - str_replace (быстрее пашет и ман рекомендует в данном случае). А второе, если структура сайта позволяет, то замену '<' на '<' (и т.п.) делал бы при вызове из базы а не при записи в неё, т.к. экономит драгоценных 3 байта, что для меня очень много.

@Оптать · 31.12.2007, 19:40 **[ТС]**

Спасибо Мишар, переправил на str.

@theon · 31.12.2007, 21:58

тебе понадобятся эти функции
mixed str_replace (mixed search, mixed replace, mixed subject)
int empty (mixed var)
string trim (string str)
string addslashes (string str)
string stripcslashes (string str)

string htmlentities (string string [, int quote_style]) || string strip_tags (string str [, string allowable_tags])

2dimonych, не надо избретать велосипед

01.01.2008, 15:00

Я лишь передал смысл, а как это сделать, заменить ли при записи в базу или при выводе из базы решает каждый сам для себя.
Смысл в том что надо эти символы заменять, а как, это дело лично каждого.

@Оптать · 01.01.2008, 15:07 **[ТС]**

Мужики все нормально, ну что вы прямо как дети, 'я так', 'а у меня лучше', рад что вы подсказали мне путь, но не надо драться по поводу того как этот путь лучше реализовать, конечный результат есть помощь ламеру (мне), а не драка между челами.

@pipok · 04.01.2008, 07:35

Какая же это экономия? Нужно при записи менять, т.к. читают чаще, да и при чтении ждать совсем не в кайф...

@-Dark- · 04.01.2008, 11:28

Ребят, не сорьтесь!

Code
1
string htmlspecialchars (string string [, int quote_style])

вот вам замечательная функция для решения всех ваших проблем

This function is useful in preventing user-supplied text from containing HTML markup, such as in a message board or guest book application. The optional second argument, quote_style, tells the function what to do with single and double quote characters. The default mode, ENT_COMPAT, is the backwards compatible mode which only translates the double-quote character and leaves the single-quote untranslated. If ENT_QUOTES is set, both single and double quotes are translated and if ENT_NOQUOTES is set neither single nor double quotes are translated.

The translations performed are:

'&' (ampersand) becomes '&'
''' (double quote) becomes '"' when ENT_NOQUOTES is not set.
''' (single quote) becomes ''' only when ENT_QUOTES is set.
'<' (less than) becomes '<'
'>' (greater than) becomes '>'

и не мучайтесь вы с поиском и заменой...

@Оптать · 04.01.2008, 13:48 **[ТС]**

Видишь ли DarkStorm функция htmlspecialchars (string string [, int quote_style]) дает строку в кодировке в ISO-8859-1 а эта кодировка не поддерживается функцией конвертирования текста convert_cyr_string а других функций я к сожалению не знаю, поэжтому на экран можно получить откровенную билеберду, как же быть?

@-Dark- · 04.01.2008, 13:57

Правильно настрой локаль.
У меня она все отдает в той кодировке в которой получила!

@theon · 04.01.2008, 17:23

Оптать,
в php.ini измени default_charset
sorry, я забыл еще написать, что тебе может пригодится

strip_tags -- Strip HTML and PHP tags from a string

string strip_tags (string str [, string allowable_tags])

@Оптать · 06.01.2008, 08:20 **[ТС]**

Спасибо, попробую изменить кодировку по умолчанию, может еще че интересное.

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@Оптать 0 / 0 / 0 Регистрация: 25.07.2007 Сообщений: 46

	Как блокировать вывод HTML тэгов в гостевую книгу? 31.12.2007, 11:02. Показов 3727. Ответов 14 Метки нет (Все метки) Есть гостевая книга на PHP база Postgress Юзер вводит мессаги и может вводить html код, который потом при просмотре будет на экране. Так же чет знает что можно навводить! Как мне прекратить. Поможите люди добрые Плиз! 0

dimonych
	31.12.2007, 12:07
	я не дописал в предыдущем ответе, что заменяю символы < и > на служебные. Правда я использую mysql, но думаю это имеет смысл и в твоей базе.

@Оптать 0 / 0 / 0 Регистрация: 25.07.2007 Сообщений: 46
	31.12.2007, 12:10 [ТС]
	Спасибо, попробую и напишу. Есть в PHP функция что все символы на служебные меняет, но с кодировкой она как-то странно работает наверное в ISO-8859-1 все переносит. Спасибо еще раз. 0

@mishar 0 / 0 / 0 Регистрация: 13.12.2007 Сообщений: 46
	31.12.2007, 19:19
	Согласно моей некомпетентности я бы использовал вместо ereg_replace - str_replace (быстрее пашет и ман рекомендует в данном случае). А второе, если структура сайта позволяет, то замену '<' на '<' (и т.п.) делал бы при вызове из базы а не при записи в неё, т.к. экономит драгоценных 3 байта, что для меня очень много. 0

@Оптать 0 / 0 / 0 Регистрация: 25.07.2007 Сообщений: 46
	31.12.2007, 19:40 [ТС]
	Спасибо Мишар, переправил на str. 0

@theon 0 / 0 / 0 Регистрация: 31.12.2007 Сообщений: 26
	31.12.2007, 21:58
	тебе понадобятся эти функции mixed str_replace (mixed search, mixed replace, mixed subject) int empty (mixed var) string trim (string str) string addslashes (string str) string stripcslashes (string str) string htmlentities (string string [, int quote_style]) \|\| string strip_tags (string str [, string allowable_tags]) 2dimonych, не надо избретать велосипед 0

dimonych
	01.01.2008, 15:00
	Я лишь передал смысл, а как это сделать, заменить ли при записи в базу или при выводе из базы решает каждый сам для себя. Смысл в том что надо эти символы заменять, а как, это дело лично каждого.

@Оптать 0 / 0 / 0 Регистрация: 25.07.2007 Сообщений: 46
	01.01.2008, 15:07 [ТС]
	Мужики все нормально, ну что вы прямо как дети, 'я так', 'а у меня лучше', рад что вы подсказали мне путь, но не надо драться по поводу того как этот путь лучше реализовать, конечный результат есть помощь ламеру (мне), а не драка между челами. 0

@pipok 0 / 0 / 0 Регистрация: 21.04.2007 Сообщений: 156
	04.01.2008, 07:35
	Какая же это экономия? Нужно при записи менять, т.к. читают чаще, да и при чтении ждать совсем не в кайф... 0

@Оптать 0 / 0 / 0 Регистрация: 25.07.2007 Сообщений: 46
	04.01.2008, 13:48 [ТС]
	Видишь ли DarkStorm функция htmlspecialchars (string string [, int quote_style]) дает строку в кодировке в ISO-8859-1 а эта кодировка не поддерживается функцией конвертирования текста convert_cyr_string а других функций я к сожалению не знаю, поэжтому на экран можно получить откровенную билеберду, как же быть? 0

@-Dark- 0 / 0 / 0 Регистрация: 02.01.2008 Сообщений: 81
	04.01.2008, 13:57
	Правильно настрой локаль. У меня она все отдает в той кодировке в которой получила! 0

@theon 0 / 0 / 0 Регистрация: 31.12.2007 Сообщений: 26
	04.01.2008, 17:23
	Оптать, в php.ini измени default_charset sorry, я забыл еще написать, что тебе может пригодится strip_tags -- Strip HTML and PHP tags from a string string strip_tags (string str [, string allowable_tags]) 0

@Оптать 0 / 0 / 0 Регистрация: 25.07.2007 Сообщений: 46
	06.01.2008, 08:20 [ТС]
	Спасибо, попробую изменить кодировку по умолчанию, может еще че интересное. 0