Pogledajte određenu poruku
Staro 04. 01. 2008.   #1
JovanT
profesionalac
Qualified
 
Datum učlanjenja: 11.01.2006
Lokacija: Niš
Poruke: 100
Hvala: 66
11 "Hvala" u 9 poruka
JovanT is on a distinguished road
Default Филтрирање Html-а

Правим једну модификацију за SMF где треба дозволити кориснику унос HTML-а и CSS-а којим ће моћи да прилагоди изглед своје странице. Али, не треба му дозволити да унесе javascript или нешто слично чиме би могао да злоупотреби ову могућност.

Оно што тренутно користим је следеће:

Kôd:
function clean_html ($html) {
	$html = preg_replace ('@<script[^>]*?>.*?</script>@si', '', $html);
	$html = preg_replace ('@<script[^>]*?>@si', '', $html);
	$html = preg_replace ('@<iframe[^>]*?>.*?</iframe>@si', '', $html);
	$html = preg_replace ('@<iframe[^>]*?>@si', '', $html);
	$html = preg_replace ('@<meta[^>]*?>@si', '', $html);
	
	return $html;
}
Међутим, мислим да ни ово није довољно пошто се javascript може наћи и у атрибутима HTML тагова. Да ли је могуће филтрирати све атрибуте у HTML таговима сем id, class и style?
JovanT je offline   Odgovorite uz citat