Avatar billede stoorm Nybegynder
27. august 2009 - 19:47 Der er 3 kommentarer og
1 løsning

Stop kommandoer fra sql

Hej

jeg har en lille shoutbox på en hjemmeside som gemmer beskederne i en sql database

problemet er den at man kan køre javascrips og html kode i den ved at poste et indlæg

hvordan stopper jeg det?
Avatar billede fbhzone Nybegynder
28. august 2009 - 17:59 #1
htmlentities($row['content'])
Avatar billede fbhzone Nybegynder
28. august 2009 - 18:02 #2
Alright det var måske lidt hurtigt.
http://dk.php.net/htmlentities

<?php
$eksempel = "<h1>Skod!</h1>";

echo htmlentities($eksempel);
?>

Med ovenstående kode vil du se at PHP konverterer det om, så den rent faktisk bare skriver <h1>Skod!</h1> istedet for at opfatte det som html tags.
Avatar billede fbhzone Nybegynder
28. august 2009 - 18:02 #3
og.. æhm.. jeg spammer lige lidt:  Du skriver ikke hvilket sprog du skriver i, men mit svar tager udgangspunkt i PHP :)
Avatar billede stoorm Nybegynder
29. august 2009 - 00:03 #4
jep selve shoutouten er skrevet i php og gemmer data i sql
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Kurser inden for grundlæggende programmering

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester