DevProTalk - Pogledajte određenu poruku

bluesman · 05. 07. 2009.

Da, to bi trebalo da je sasvim dovoljno, ali obrati pažnju ako stavljaš neki text na title atribut pa onda recimo radiš neke javascript munje (aka tooltip), u tom slučaju čak i kada je escape-ovano, izvršiće se javascript.

Takođe obrati pažnju na to da ti je nekada baš potrebno da bude ne-escape-ovan tekst, recimo ako ima neki html koji hoćeš da pljusneš baš takko kako jeste i da ostane formatiran.

Kao što si rekao, ne treba ti nikakva teška artiljerija, besmisleno je štititi se od svega postojećeg (recimo ovaj Ivanov primer za utf-7, većina non-asian sajtova i ne koristi taj encoding), tako da je sasvim dovoljno to što si naveo, plus malo type casting (skoro isključiv kod inputa).

Recimo, smarty modifier escape radi upravo to, ali onda moraš u samom template da pišeš svaki put {$neka_varijabla|escape}

05. 07. 2009.	#3
bluesman Goran Pilipović Sir Write-a-Lot Datum učlanjenja: 18.05.2005 Lokacija: Beograd Poruke: 5.450 Hvala: 288 1.247 "Hvala" u 446 poruka	Da, to bi trebalo da je sasvim dovoljno, ali obrati pažnju ako stavljaš neki text na title atribut pa onda recimo radiš neke javascript munje (aka tooltip), u tom slučaju čak i kada je escape-ovano, izvršiće se javascript. Takođe obrati pažnju na to da ti je nekada baš potrebno da bude ne-escape-ovan tekst, recimo ako ima neki html koji hoćeš da pljusneš baš takko kako jeste i da ostane formatiran. Kao što si rekao, ne treba ti nikakva teška artiljerija, besmisleno je štititi se od svega postojećeg (recimo ovaj Ivanov primer za utf-7, većina non-asian sajtova i ne koristi taj encoding), tako da je sasvim dovoljno to što si naveo, plus malo type casting (skoro isključiv kod inputa). Recimo, smarty modifier escape radi upravo to, ali onda moraš u samom template da pišeš svaki put {$neka_varijabla\|escape} __________________ Goran Pilipović a.k.a. Ugly Fingers Bradley f.k.a. bluesman I don't always know what I'm talking about but I know I'm right!