05. 07. 2009. | #3 |
Goran Pilipović
Sir Write-a-Lot
|
Da, to bi trebalo da je sasvim dovoljno, ali obrati pažnju ako stavljaš neki text na title atribut pa onda recimo radiš neke javascript munje (aka tooltip), u tom slučaju čak i kada je escape-ovano, izvršiće se javascript.
Takođe obrati pažnju na to da ti je nekada baš potrebno da bude ne-escape-ovan tekst, recimo ako ima neki html koji hoćeš da pljusneš baš takko kako jeste i da ostane formatiran. Kao što si rekao, ne treba ti nikakva teška artiljerija, besmisleno je štititi se od svega postojećeg (recimo ovaj Ivanov primer za utf-7, većina non-asian sajtova i ne koristi taj encoding), tako da je sasvim dovoljno to što si naveo, plus malo type casting (skoro isključiv kod inputa). Recimo, smarty modifier escape radi upravo to, ali onda moraš u samom template da pišeš svaki put {$neka_varijabla|escape}
__________________
Goran Pilipović a.k.a. Ugly Fingers Bradley f.k.a. bluesman I don't always know what I'm talking about but I know I'm right! |
|
|
Slične teme | ||||
Tema | Početna poruka teme | Forum | Odgovori | Poslednja poruka |
SEF .html ili .php? | Codegen | Marketing i SEO | 5 | 10. 06. 2008. 23:32 |
Html 5 | twix | (X)HTML, JavaScript, DHTML, XML, CSS | 1 | 05. 12. 2007. 15:37 |
Input escape - mysql_real_escape_string | bluesman | PHP | 11 | 11. 03. 2007. 15:14 |
Escape char iz mysql komandne linije. | Dragi Tata | SQL baze podataka - Sponzor: Baze-Podataka.net | 11 | 05. 08. 2006. 15:35 |
HTML/CSS na PDA | Pedja | (X)HTML, JavaScript, DHTML, XML, CSS | 6 | 26. 01. 2006. 11:59 |