---

Hvis jeg vil tage noget data fra et tekstfelt
der kan indeholde HTML kode, også putte det i
en database, er det så ikke noget med, at man
skal køre det gennem en eller anden PHP funktion?
Hvad med når jeg hiver det ud igen?


Mvh
Martin

---

Martin Møller Bæk wrote in <3DFA2A0D.6070804@nospam.aflame.dk>:
> Hvis jeg vil tage noget data fra et tekstfelt
> der kan indeholde HTML kode, også putte det i
> en database, er det så ikke noget med, at man
> skal køre det gennem en eller anden PHP funktion?

Nope. HTML er bare helt almindelig tekst. Men du skal huske at escape
farlige tegn, ligesom med al anden tekst.

> Hvad med når jeg hiver det ud igen?

Ikke noget. Det skulle gerne være klar til servering. Medmindre du da har
lyst til at gøre noget ved det. :)

--
Mvh.

Niels Andersen
(la nels. anersyn.)

---

Niels Andersen wrote:
> Nope. HTML er bare helt almindelig tekst. Men du skal huske at escape
> farlige tegn, ligesom med al anden tekst.

Kunne du ikke lige give et eksempel på farlige tegn.
Og hvordan escaper man den nemmest.

Martin

---

Martin Møller Bæk wrote in <3DFA3D11.40006@nospam.aflame.dk>:
>> Nope. HTML er bare helt almindelig tekst. Men du skal huske at escape
>> farlige tegn, ligesom med al anden tekst.
>
> Kunne du ikke lige give et eksempel på farlige tegn.
> Og hvordan escaper man den nemmest.

$sql = "SELECT id, navn, julemand FROM tabel WHERE navn='$navn'";

En eller anden skriver så fx. dette navn:
platfod'; DELETE FROM tabel;

Kan du selv se hvad der sker?

Hvis du bruger mysql kører du bare navnet gennem addslashes(). Så bliver det
lille quote-tegn udskadeliggjort.

Fx:
$sql = "SELECT id, navn, julemand FROM tabel WHERE
navn='".addslashes($navn)."'";

--
Mvh.

Niels Andersen
(la nels. anersyn.)

---

Niels Andersen wrote:
> Martin Møller Bæk wrote in <3DFA3D11.40006@nospam.aflame.dk>:
> $sql = "SELECT id, navn, julemand FROM tabel WHERE navn='$navn'";
>
> En eller anden skriver så fx. dette navn:
> platfod'; DELETE FROM tabel;
>
> Kan du selv se hvad der sker?
>
> Hvis du bruger mysql kører du bare navnet gennem addslashes(). Så bliver det
> lille quote-tegn udskadeliggjort.
>
> Fx:
> $sql = "SELECT id, navn, julemand FROM tabel WHERE
> navn='".addslashes($navn)."'";

Tak for det.
Ja, det ville jo nok være en god ide at
bruge addslashes så...

/Martin

---

Iøvrigt har jeg lige et tillægsspørgsmål,
som ligner lidt.
Jeg har et input felt, hvor der kan skrives html i,
og som gennem i db'en. Men når jeg bagefter viser
en entitiet i et felt, kan det gå galt.

Ex.

I feltet
<input type="text" value="" />
indtastes <img src="foo.gif">

Når dette senere vises i samme felt får vi:
<input type="text" value="<img src=\"foo.gif\"> />
og det går galt, da det vises forkert.
Hvad skal jeg gøre for at få det vist rigtigt.

/Martin

---

Martin Møller Bæk wrote in <3DFA55E1.3000004@nospam.aflame.dk>:
> I feltet
> <input type="text" value="" />
> indtastes <img src="foo.gif">
>
> Når dette senere vises i samme felt får vi:
> <input type="text" value="<img src=\"foo.gif\"> />

<input type="text" value="<?php echo htmlentities($string); ?>" />

--
Mvh.

Niels Andersen
(la nels. anersyn.)

---

.... og husk at det måske ikke er så dejligt hvis brugeren nu skriver
"</html>"...

Mvh.
/Thomas

---

Thomas Lindgaard wrote:
> ... og husk at det måske ikke er så dejligt hvis brugeren nu skriver
> "</html>"...

he he. Ja, det ville ikke være så godt.
Nu er det heldigvis et internt værktøj (med login),
jeg er ved at lave, og det er pt kun en person,
der skal bruge det, hvilket gør, at man godt kan
springe over noget af sikkerheden på sider, hvor
brugeren er lukket ind.

Men tak for svarene..

/Martin