По поводу strip tags

@wass · Регистрация: 14.10.2013

Студворк — интернет-сервис помощи студентам

Всем добрый день, короче привед)
Проблемка такая, более год назад мне сверстали в одной организации сайт, я им почти не пользовался (иногда заходил). И вот, недавно, с ним начались проблемы, я хотел обратится к создателям, но фирма распалась, офис закрыт уж давно и телефоны молчат. Так вот, шаман-чувачек, который кодил над add.php не применил strip_tags....Подскажите куда, а вернее как его воткнуть, я пробывал не получилось....

PHP
1
$text = strip_tags($_POST["txt"])?$_POST["txt"]:$_GET["txt"];

Добавлено через 1 час 1 минуту
или лучше использовать htmlspecialchars??

@panicwassano · 14.10.2013, 20:47

PHP
1
$text = strip_tags($text);

@wass · 14.10.2013, 23:17 **[ТС]**

Извините ошибся исходный код таков:

PHP
1
$text = isset($_POST["txt"])?$_POST["txt"]:$_GET["txt"];

значит нужно добавить строку $text = strip_tags($text);
тогда выйдет так:

PHP
1
2
3
$text = isset($_POST["txt"])?$_POST["txt"]:$_GET["txt"];
$text = strip_tags($text);
...и далее по тексту...

я правильно понял?

Добавлено через 1 час 25 минут
Все получилось, значит я все правильно понял, да интересный язык php, с переменной можно делать все что угодно. Спасибо panicwassan за помощь! Сегодня прочел мнение, что оператор strip_tags можно обойти, а htmlspecialchars?

KOPOJI · 14.10.2013, 23:33

Сообщение от wass

или лучше использовать htmlspecialchars??

а для чего тут использовать, вы сказать не хотите? Мы ж даже не знаем, что этот скрипт делает

@wass · 15.10.2013, 10:12 **[ТС]**

Это скрипт добавления объявления, и через него некоторые не хорошие люди изменяли дизайн сайта, так вот какой оператор лучше поставить htmlspecialchars или strip tags, для безопастности и как сделать что бы при добавлении картинки, гpузились только изображения(gif jpe jpeg jpg pdf png), а другие файлы блокировались?

KOPOJI · 15.10.2013, 10:25

добавления куда? В файлы, в бд?

Добавлено через 1 минуту
если в бд - то при записи необходимо использовать экранирование или плэйсхолдеры, при выводе - htmlspecialchars

Добавлено через 25 секунд
strip_tags в данном случае по желанию

@wass · 15.10.2013, 20:23 **[ТС]**

добавления в бд mysql

@slvABTOP · 16.10.2013, 10:08

KOPOJI, почему бы перед записью в бд, данные не прогонять через htmlspecialchars? как минимум не надо при выводе забоиться об этом

KOPOJI · 16.10.2013, 10:24

это уже не раз обсуждалось. Вообще, это, конечно, дело вкуса, но, если у вас где-то SQL-инъекция, то вам могут записать в БД html-код, к примеру, какой-нибудь редирект. да и места меньше занимает - один символ вместо трех-четырех

@slvABTOP · 16.10.2013, 10:32

KOPOJI, я видно этих обсуждения не застал. Ну а за разъяснения спасибо.

@wass · 16.10.2013, 22:12 **[ТС]**

ЕЩЕ нашел проблему, как сделать чтобы при выводе объявления, сам текст обьявления занимал заданную ширину. У меня если ввести объявление в одну строку, то и выводится тоже в одну строку при этом увиличитвается ширина страницы, что в свою очередь искажает дизайн сайта.

Добавлено через 3 минуты

Сообщение от KOPOJI

это уже не раз обсуждалось. Вообще, это, конечно, дело вкуса, но, если у вас где-то SQL-инъекция, то вам могут записать в БД html-код, к примеру, какой-нибудь редирект. да и места меньше занимает - один символ вместо трех-четырех

Можно записать этот вывод, ввиде строки php кода?

в тегах html указана фиксированая ширина :
1 <td valign=top width=500>

Добавлено через 7 часов 11 минут
делал выравнивание на word-wrap: break-word; не коректно работает на опере, подскажите есть ли код на php, что бы при вводе текста в форме добавления, он автоматом выравнивал ширину.

KOPOJI · 16.10.2013, 22:30

Сообщение от wass

Можно записать этот вывод, ввиде строки php кода?

Можно. Можно и выполнить его после. Только зачем?

Сообщение от wass

выравнивание

http://www.php.net/wordwrap

@wass · 17.10.2013, 18:59 **[ТС]**

вот код добавления объвления:

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
<?
$timeadd = 10;
if (!isset($_COOKIE["access"]) || isset($_COOKIE['admin'])){
$ref = $_SERVER['HTTP_REFERER'];
require_once("./config/config.php");
if (!mysql_connect($db["server"],$db["login"],$db["password"])){
exit();
}
$rip = $_SERVER["REMOTE_ADDR"];
mysql_select_db($db["name"]);
session_start();
 //echo $_FILES["filename"]["tmp_name"];
 
$capt = false;
if(count($_POST)>0){
if (isset($_POST['keystring'])){
    if(isset($_SESSION['captcha_keystring']) && $_SESSION['captcha_keystring'] == $_POST['keystring']){
        $capt = true;
 
    }else{
        $capt = false;
    }
    }
}
if (isset($_COOKIE['admin'])){
$capt=true;
}
 
unset($_SESSION['captcha_keystring']);
if ($capt) {
 $text = isset($_POST["txt"])?$_POST["txt"]:$_GET["txt"];
 $text = htmlspecialchars($text);
 
 if (strlen(trim($text))>5)
 { 
$date = date("Y-m-d");
 $catid = isset($_POST["catID"])?$_POST["catID"]:$_GET["catID"];
 /*
mysql_query("INSERT INTO `advertisement` (`id`, `text`, `catID`, `date`, `top`)
  VALUES ('', '$text', '$catid', '$date', 'no')");
*/
if($_FILES["filename"]["size"] > 100*1024)
   {
     echo "Размер файла превышает 100 килобайт. <a href='$ref'>Назад </a>";
     exit;
   }
if ($_FILES["filename"]["tmp_name"]){
function rand_str($length = 32, $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz1234567890')
{
        $chars_length = (strlen($chars) - 1);
      $string = $chars{rand(0, $chars_length)};
    for ($i = 1; $i < $length; $i = strlen($string))
    {
        $r = $chars{rand(0, $chars_length)};
        if ($r != $string{$i - 1}) $string .=  $r;
    }
    return $string;
}
$randname = rand_str();
$n1 = basename($_FILES["filename"]["name"]);
$ext = strtolower(array_pop(explode(".", $n1)));
$randname.=".".$ext;
 
   if(copy($_FILES["filename"]["tmp_name"],"/...www/image/prod/".$randname))
   {
    $fname =  "/home/balka1/balka.kiev.ua/www/image/prod/".$randname;
    //$sql = "UPDATE `advertisement` SET `img` = '$fname' WHERE `text` = '%$text%'";
    //mysql_query($sql);
 
  mysql_query("INSERT INTO `advertisement` (`id`, `text`, `catID`, `date`, `top`, `img`, `userip`)
  VALUES ('', '$text', '$catid', '$date', 'no', '$fname', '$rip')");
 
 // $_SESSION["access"]="denied";
  setcookie("access", "denied", time()+$timeadd);
     //  echo("Файл успешно загружен <br>");
   } else {
      echo("Ошибка загрузки файла");
   }
   } else {
   mysql_query("INSERT INTO `advertisement` (`id`, `text`, `catID`, `date`, `top`, `userip`)
  VALUES ('', '$text', '$catid', '$date', 'no', '$rip')");
  setcookie("access", "denied", time()+$timeadd);
  //$_SESSION["access"]="denied";
   }
 header("location:http://www.../index.php?showID=$catid&page=0");
} else {
echo "Неверно указан код проверки или объявление слишком короткое. <a href='$ref'>Назад</a>";
}
} else {
echo "Неверно указан код проверки или объявление слишком короткое. <a href='$ref'>Назад</a>";
}
} else {
echo "Вы можете добавить следующее объявление не раньше, чем через 1 минут.</center>";
}
?>

Добавлено через 3 минуты
надо обязательно менять переменную?

PHP
1
2
3
$text = "A very long word.";
$newtext = wordwrap($text, 8, "\n", true);
echo "$newtext\n";

Добавлено через 2 минуты
если менять то надо и изменить переменную вывода текста на главной странице?

@wass · 19.10.2013, 12:25 **[ТС]**

не получается у меня, при замене - не пишет в базу данных и не выводит старые объявления, подскажите

PHP
1
2
$text = isset($_POST["txt"])?$_POST["txt"]:$_GET["txt"];
$text = htmlspecialchars($text);

ставим куда?:

PHP
1
2
$newtext = wordwrap($text, 8, "\n", true);
echo "$newtext\n";

Комментарий модератора

Используйте теги оформления кода

KOPOJI · 19.10.2013, 22:14

я уже говорил - htmlspecialchars при записи не поможет, необходимо экранировать данные или использовать подготовленные выражения.

@DDim1000 · 08.11.2016, 13:43

Подскажите, пожалуйста, почему strip_tags ругается вот на такую ссылку?:
Формирования ссылки:

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<?php
  $result = mysql_query("SELECT * FROM clothing_size",$link);
  if (mysql_num_rows($result) > 0)
    {
        $row = mysql_fetch_array($result);
        do
          {
          echo '
          <li><input type="checkbox" name="size[]" value="'.$row["id"].'" id="checksize'.$row["id"].'" /><label for="checksize'.$row["id"].'">'.$row["size"].'</label> </li>
          
          ';      
          }while($row = mysql_fetch_array($result));
    };
 
 
?>

В адресной строке вот так выводится:
_https://localhost/shop/search_filtr.php?start_price=0&end_price =5000&size%5B%5D=7&button=+

Хотя, должно вот так выводиться: _https://localhost/shop/search_filtr.php?start_price=0&end_price =5000&size=7&button=+

Пишет вот такую ошибку:
Warning: strip_tags() expects parameter 1 to be string, array given in C:\Programming\xampp\htdocs\shop\functio ns\functions.php on line 5

functions.php:

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
<?php
 
function clear_string($cl_str)
  {
    $cl_str = strip_tags($cl_str);
    $cl_str = mysql_real_escape_string($cl_str);
    $cl_str = trim($cl_str);  
    
    return $cl_str;
     
  }
 
?>

Новые блоги и статьи Все статьи Все блоги /
Отправка уведомления на почту при изменении наименования справочника Maks 24.03.2026 Программная отправка письма электронной почты на примере изменения наименования типового справочника "Склады" в конфигурации БП3. Перед реализацией необходимо выполнить настройку системной учетной. . .	модель ЗдравоСохранения 5. Меньше увольнений- больше дохода! anaschu 24.03.2026 Теперь система здравосохранения уменьшает количество увольнений. 9TO2GP2bpX4 a42b81fb172ffc12ca589c7898261ccb/ https:/ / rutube. ru/ video/ a42b81fb172ffc12ca589c7898261ccb/ Слева синяя линия -. . .	Midnight Chicago Blues kumehtar 24.03.2026 Такой Midnight Chicago Blues, знаешь?. . Когда вечерние улицы становятся ночными, а ты не можешь уснуть. Ты идёшь в любимый старый бар, и бармен наливает тебе виски. Ты смотришь на пролетающие. . .	SDL3 для Desktop (MinGW): Вывод текста со шрифтом TTF с помощью библиотеки SDL3_ttf на Си и C++ 8Observer8 24.03.2026 Содержание блога Финальные проекты на Си и на C++: finish-text-sdl3-c. zip finish-text-sdl3-cpp. zip
Жизнь в неопределённости kumehtar 23.03.2026 Жизнь — это постоянное существование в неопределённости. Например, даже если у тебя есть список дел, невозможно дойти до точки, где всё окончательно завершено и больше ничего не осталось. В принципе,. . .	Модель здравоСохранения: работники работают быстрее после её введения. anaschu 23.03.2026 geJalZw1fLo Корпорация до введения программа здравоохранения имела много невыполненных работниками заданий, после введения программы количество заданий выросло. Но на выплатах по больничным это. . .	Контроль уникальности заводского номера Maks 23.03.2026 Алгоритм контроля уникальности заводского (или серийного) номера на примере нетипового документа выдачи шин для спецтехники с табличной частью, разработанного в конфигурации КА2. Данные берутся из. . .	Хочу заставить корпорации вкладываться в здоровье сотрудников: делаю мат модель здравосохранения anaschu 22.03.2026 e7EYtONaj8Y Z4Tv2zpXVVo https:/ / github. com/ shumilovas/ med2. git

@wass 0 / 0 / 0 Регистрация: 14.10.2013 Сообщений: 7
	15.10.2013, 10:12 [ТС]
	Это скрипт добавления объявления, и через него некоторые не хорошие люди изменяли дизайн сайта, так вот какой оператор лучше поставить htmlspecialchars или strip tags, для безопастности и как сделать что бы при добавлении картинки, гpузились только изображения(gif jpe jpeg jpg pdf png), а другие файлы блокировались? 0

KOPOJI Почетный модератор 16844 / 6724 / 880 Регистрация: 12.06.2012 Сообщений: 19,967
	15.10.2013, 10:25
	добавления куда? В файлы, в бд? Добавлено через 1 минуту если в бд - то при записи необходимо использовать экранирование или плэйсхолдеры, при выводе - htmlspecialchars Добавлено через 25 секунд strip_tags в данном случае по желанию 0

@wass 0 / 0 / 0 Регистрация: 14.10.2013 Сообщений: 7
	15.10.2013, 20:23 [ТС]
	добавления в бд mysql 0

@slvABTOP 0 / 0 / 0 Регистрация: 25.09.2013 Сообщений: 11
	16.10.2013, 10:08
	KOPOJI, почему бы перед записью в бд, данные не прогонять через htmlspecialchars? как минимум не надо при выводе забоиться об этом 0

KOPOJI Почетный модератор 16844 / 6724 / 880 Регистрация: 12.06.2012 Сообщений: 19,967
	16.10.2013, 10:24
	это уже не раз обсуждалось. Вообще, это, конечно, дело вкуса, но, если у вас где-то SQL-инъекция, то вам могут записать в БД html-код, к примеру, какой-нибудь редирект. да и места меньше занимает - один символ вместо трех-четырех 0

@slvABTOP 0 / 0 / 0 Регистрация: 25.09.2013 Сообщений: 11
	16.10.2013, 10:32
	KOPOJI, я видно этих обсуждения не застал. Ну а за разъяснения спасибо. 0

KOPOJI Почетный модератор 16844 / 6724 / 880 Регистрация: 12.06.2012 Сообщений: 19,967
	19.10.2013, 22:14
	я уже говорил - htmlspecialchars при записи не поможет, необходимо экранировать данные или использовать подготовленные выражения. 1