Javascript.RU

Создать новую тему Ответ
 
Опции темы Искать в теме
  #11 (permalink)  
Старый 26.06.2018, 13:29
Профессор
Отправить личное сообщение для laimas Посмотреть профиль Найти все сообщения от laimas
 
Регистрация: 14.01.2015
Сообщений: 12,989

Сообщение от Stas1985
Сделано это скорее всего в плане безопасности для того чтоб пользователь не смог прописать какой либо код или запрос.
Ну так вы же теперь отдаете html, а значит и говорить о безопасности не приходится. Теперь у вас явная дыра для XSS атак.
Ответить с цитированием
  #12 (permalink)  
Старый 26.06.2018, 15:25
Профессор
Отправить личное сообщение для Stas1985 Посмотреть профиль Найти все сообщения от Stas1985
 
Регистрация: 05.03.2012
Сообщений: 159

Так я их модерирую и без модерации они ни как не появятся на странице
Ответить с цитированием
  #13 (permalink)  
Старый 26.06.2018, 15:34
Профессор
Отправить личное сообщение для laimas Посмотреть профиль Найти все сообщения от laimas
 
Регистрация: 14.01.2015
Сообщений: 12,989

Сообщение от Stas1985
Так я их модерирую и без модерации они ни как не появятся на странице
А если так и вручную убирается все опасное, то сохраняйте их в базе как есть.
Ответить с цитированием
  #14 (permalink)  
Старый 26.06.2018, 15:38
Профессор
Отправить личное сообщение для Stas1985 Посмотреть профиль Найти все сообщения от Stas1985
 
Регистрация: 05.03.2012
Сообщений: 159

так они в базе хранятся как есть.
вывод на страницу был такой
echo $this->escape($item->comment);

подправил его я как писал выше
$comment_html = html_entity_decode($this->escape($item->comment));
  echo $comment_html;
Ответить с цитированием
  #15 (permalink)  
Старый 26.06.2018, 15:42
Профессор
Отправить личное сообщение для laimas Посмотреть профиль Найти все сообщения от laimas
 
Регистрация: 14.01.2015
Сообщений: 12,989

Ну так не применяйте к этому при выводе данный метод, зачем сначала преобразовывать а затем декодировать, если можно вывести как есть?
Ответить с цитированием
Ответ



Опции темы Искать в теме
Искать в теме:

Расширенный поиск


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Диалог между HTML и внешним JS в контексте расширения GoogleChrome ev1lart Events/DOM/Window 0 26.04.2017 19:25
Как удалять элементы из документа HTML в нужном порядке myautosaler Общие вопросы Javascript 3 26.07.2015 23:14
Не срабатывают события из HTML devastor Events/DOM/Window 9 12.09.2014 15:53
Как удалить из HTML все элементы со стилем hidden Почемучкин Events/DOM/Window 3 24.06.2011 14:40
Динамические html элементы sky Элементы интерфейса 2 07.03.2010 11:58