CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

DiscSunshine Nybegynder

14. oktober 2012 - 03:30 Der er 5 kommentarer og
1 løsning

Hvordan sikre jeg med html tagen undtagen <br/>

Hej Experter

jeg er ved at lave en famillige side og skal lave en form som sender til databasen alt det ved jeg godt hvordan man laver

men være gang folk laver et linje skift har jeg sat
nl2br()

og når jeg så henter det virker det ok men så kan folk også lave rod med fx <h1>

så jeg prøvede
htmlentities()

men så også mine linje skift kom fram med
text <br/> text
i stedet for at lave linje skiftet for jeg har jo lige sagt til den at den skal skive alt ud og html ikke må virke

så hvordan gør jeg sådan at min side godt kan skive <br/> men ikke alle andre html tagn

ved ikke lige hvad jeg skal lægge den under men det er jo lidt med php og mysql så den skiver det rigtig ud

Synes godt om

stalle Nybegynder

14. oktober 2012 - 09:24 #1

Du skal/kan bruge "strip_tags()"

$besked = strip_tags($besked);
$besked = nl2br($besked);

Så bliver alle HTML tags fjernet til at starte med.
Efterfølgende laver du nl2br()

Synes godt om

DiscSunshine Nybegynder

14. oktober 2012 - 12:00 #2

Nu har jeg gort sådan her

$opslag = mysql_real_escape_string(strip_tags($_POST['opslag-væg-bruger']));
$opslag_br = nl2br($opslag);
if ($opslag) {
mysql_query("INSERT INTO opslag VALUES('','$id_login','$id','$opslag_br')");
echo'<meta http-equiv="refresh" content="0">';

men ja den fjerner alt men også når jeg laver linje skift det vil sige den gider heller ikke sette <br/> på

Synes godt om

olebole Juniormester

14. oktober 2012 - 16:40 #3

<ole>

For det første skal du ikke escape HTML, når du indsætter i databasen. Faktisk burde der slet ikke indsættes HTML i databasen - som jo er til data *o)

Indsætter du alligevel HTML, bør det escapes, når du henter data fra databasen - ikke når du indsætter.

Derudover er mysql_real_escape_string ikke sikker. I det hele taget er det gamle MySQL-API forældet og usikkert, hvorfor man i dag er gået over til MySQLI eller PDO.

/mvh
</bole>

Synes godt om

DiscSunshine Nybegynder

15. oktober 2012 - 12:07 #4

Mange tak nu virker det

Synes godt om

DiscSunshine Nybegynder

15. oktober 2012 - 12:08 #5

hvis i nu lægger et svar være vil i så ikke dele pointne??

Synes godt om

olebole Juniormester

15. oktober 2012 - 15:07 #6

Ellers tak, jeg samler ikke point =)

Som sagt bør du skifte API til noget tidssvarende. Den kode, du skriver, er dybt forældet og usikker. Prøv f.eks. at kikke på denne guide om prepared statements under MySQLI

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Webudvikling kurser

Vi tilbyder markedets bedste kurser inden for webudvikling

Se alle Webudvikling kurser

Flere spørgsmål fra PHP kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Hent array key Af nemlig i PHP	3	17/05/202415:22	17/05/202416:30
iCal-feed og import til google kalender driller Af nemlig i PHP	11	09/05/202417:49	10/05/202421:28
Adgang til vandaflæsningsdata Af nemlig i PHP	4	22/04/202422:04	30/04/202421:08
Vælg post rækkefølge Af Mojo_dk i PHP	3	06/04/202418:40	07/04/202412:20
Hjælp til PHP Af Friis77 i PHP	5	11/02/202419:58	12/02/202407:55

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS