[PHP]Profielen; invoer beperken (Geen PHP/Javascript)

Kijk eens naar UBB. Dan gebruik je zo ongeveer dezelfde codes als op GoT [b][i][s][u] Zodoende hou jij de controle en niet de poster. Je wil namelijk niet weten wat je allemaal kan doen met JS.

wat je kan doen is helemaal geen html toelaten (strip_tags) en een bbparser bakken.. Wil je echt de "normale" htmltags gebruiken dan toch met regexpen, dingen zoals <script> filteren, maar dat is volgens mij vrijwel niet te doen (varianten)..

[ Voor 26% gewijzigd door Verwijderd op 30-11-2004 22:53 ]

Volg ook maar eens deze link: http://gathering.tweakers...D=&select_forum=#hitstart

EbAyzo schreef op dinsdag 30 november 2004 @ 22:52:
[...]
Ja precies...alleen alert boxen sucken al.

Dat is nog de minste zorg

Maar je moet dus alle code strippen? Maar dat doe ik dan met specialchars? Striptags dus..

Wat dacht je van de PHP functie htmlspecialchars()

[ Voor 42% gewijzigd door ripexx op 30-11-2004 22:55 ]

met strip_tags zoals ik al zei en ook met htmlentities, kijk ff in de PHP manual zou ik zeggen..

heb ik ooit gedaan, stom voorbeeld wat ik nu geef, maar het werkte wel : ). Ik zette alle toegestane tags om naar UBB, daarna htmlspecialchars() en vervolgens weer terug. Dit werkte gewoon makkelijk en snel, hoefde bijna niks zelf te schrijven.

toevoeging @Abdul: dat kan gewoon met str_replace en niet met onhandige regexen

[ Voor 8% gewijzigd door flashin op 30-11-2004 23:16 ]

flashin schreef op dinsdag 30 november 2004 @ 23:16:
toevoeging @Abdul: dat kan gewoon met str_replace en niet met onhandige regexen

Wat is er onhandig aan regular expressions? Voor tags als [b] en [i] kun je het makkelijker met str_replace doen, maar ingewikkeldere tags gaan véél makkelijker met regexps.

ludo schreef op dinsdag 30 november 2004 @ 23:21:
[...]
Wat is er onhandig aan regular expressions? Voor tags als [b] en [i] kun je het makkelijker met str_replace doen, maar ingewikkeldere tags gaan véél makkelijker met regexps.

Het gaat juist niet om de tags [b] en [i] maar om het stripen van de HTML. Verbiedt HTML en filter dit er uit en ga niet aan de slag met het valideren van HTML te veel moeite en er zijn zat kant en klare scripts voor het parsen van (U)BB codes te vinden. Waarom het wiel nogmaals uitvinden?

Verder wil je zaken zoals <a href="javascript:doiets_leuks()">Leuke Link</a> gewoon voorkomen. Als je dat allemaal moet gaan parsen en controleren ben je veel en veel te lang bezig. En met een beetje simpele opmaak codes kom je al een eind. Verder zijn er zat JS scripts te vinden die een vergelijkbare editor als die van de nieuwe GoT template kunnen aanbieden.

Kijk als je het leuk vindt om dit soort zaken uit te zoeken dan moet je vooral niet laten, maar gezien je vraag denk ik nog niet dat je daar aan toe bent.

Regular expressions zijn voor 90% van alle BB-code prima afdoende en snel, mits je een goeie expressie schrijft. Je moet uiteraard wel weten wat je aan het doen bent. En zomaar vertrouwen op andermans scripts zoals jij nu voorstelt, is niet echt iets wat je moet doen. Als je zelf je zooi schrijft, dan weet je waar de sterke en zwakke punten zitten.

Verder is str_replace ook voor tags als [b] en [i] not done. Waarom? Omdat, als je een sluittag vergeet, je hele HTML code fucked up raakt. In een regexp kun je ervoor kiezen om de zooi alleen te vervangen als er daadwerkelijk een sluittag voor is.

-NMe- schreef op dinsdag 30 november 2004 @ 23:49:
Regular expressions zijn voor 90% van alle BB-code prima afdoende en snel, mits je een goeie expressie schrijft. Je moet uiteraard wel weten wat je aan het doen bent. En zomaar vertrouwen op andermans scripts zoals jij nu voorstelt, is niet echt iets wat je moet doen. Als je zelf je zooi schrijft, dan weet je waar de sterke en zwakke punten zitten.

Waarom kan je niet vertrouwen op andere scripts? Er zijn zat goede scripts te krijgen. regexen schrijven is niet iets wat je zomaar kan en dan wordt het juist gevaarlijk. Tja je kan ook een stack based parser bouwen ipv een regex parser. Het is maar waar je zin in hebt maar waarom moeilijk doen? Verder is het maar de vraag of je eigen code wel beter of veiliger is.

Verder is str_replace ook voor tags als [b] en [i] not done. Waarom? Omdat, als je een sluittag vergeet, je hele HTML code fucked up raakt. In een regexp kun je ervoor kiezen om de zooi alleen te vervangen als er daadwerkelijk een sluittag voor is.

Klopt als een bus

Maar voor de TS. Niet HTML gaan parsen en kijken of het wel mag maar gewoon niet toestaan en een andere methode aanbieden.

Klopt ook wel wat je zegt, maar niveau is geen excuus, alles is te leren.

Wat trouwens het makkelijkste is, is dit: htmlspecialchars over een bericht heen halen, en dan eenvoudige dingen weer terug replacen door &lt;b&gt; te vervangen door <b> enz. Uiteraard werkt dat alleen maar fijn bij simpele tags zonder attributen, maar het is eenvoudig te implementeren.

de strip_tags() functie heeft als tweede parameter 'allowable_tags'

dus:

Let wel dat strip_tags() uit zichzelf attributen laat staan:

EbAyzo schreef op woensdag 01 december 2004 @ 12:04:
[...]
Dat is inderdaad lastig....

Maar ik moet maar eens goed alle mogelijkheden gaan bekijken...

In de user-comments van de striptags functie op php.net staat daar ook een oplossing voor..