DevProTalk - Pogledajte određenu poruku

ivanhoe · 05. 07. 2009.

malo sam zardjao oko XSS-a i escaping-a, a vidim da je nedavno Ivan drzao predavanje na temu securitija, pa taman da vas preslisam

Hocu da si napravim assign_safe() f-ju za smarty, sa idejom da ona odradi sav potreban escaping da mogu bez mnogo razmisljanja da printam bilo koji submitovani text:
a) negde unutar html-a (recimo poruka o gresci na formi)
b) unutar value atributa za inpute, i unutar textarea polja

da li je dovoljno uraditi htmlspecialchars($string, ENT_QUOTES, $char_set); ili moram jos nesto? Ako ima neka gotova rutina za ovo, bez mnogo komplikacija, jos bolje, dajte source ili link...

Znam da postoje kses i slicne klase za ovo, ali hteo bih lightweight resenje bez ikakvih fancy opcija, samo treba da sve redom pocisti i konvertuje u 100% bezbednu formu.

05. 07. 2009.	#1
ivanhoe Ivan Dilber Sir Write-a-Lot Datum učlanjenja: 18.10.2005 Lokacija: Bgd Poruke: 5.320 Hvala: 104 2.344 "Hvala" u 583 poruka	html escape malo sam zardjao oko XSS-a i escaping-a, a vidim da je nedavno Ivan drzao predavanje na temu securitija, pa taman da vas preslisam Hocu da si napravim assign_safe() f-ju za smarty, sa idejom da ona odradi sav potreban escaping da mogu bez mnogo razmisljanja da printam bilo koji submitovani text: a) negde unutar html-a (recimo poruka o gresci na formi) b) unutar value atributa za inpute, i unutar textarea polja da li je dovoljno uraditi htmlspecialchars($string, ENT_QUOTES, $char_set); ili moram jos nesto? Ako ima neka gotova rutina za ovo, bez mnogo komplikacija, jos bolje, dajte source ili link... Znam da postoje kses i slicne klase za ovo, ali hteo bih lightweight resenje bez ikakvih fancy opcija, samo treba da sve redom pocisti i konvertuje u 100% bezbednu formu. __________________ Leadership is the art of getting people to want to do what you know must be done.