[xatron]

Jag har gjort så mina medlemmar kan ha egen text på sin profil, men de kan ju göra vad de vill använda all HTML kod och så, hur ska jag göra så dom bara kan använda vissa taggar?

[WebboT]

Nåt sånt här kanske:
http://htmlpurifier.org/

[xatron]

Citat:

Ursprungligen postat av WebboT

Nåt sånt här kanske:
http://htmlpurifier.org/

Det där är ungefär vad jag vill ha men det där är lite för mycket, jag vill även lära mig själv hur man gör.

[danjel]

kolla:
http://iamcal.com/publish/articles/php/processing_html/
Det är väldigt komplext att göra detta själv och få bra säkerhet mot XSS attacker, så använd befintlig kod typ htmlpurifier eller ovan

[KarlRoos]

strip_tags

Första parametern är strängen och andra parametern är godkända taggar. Exempel:

PHP-kod:

$str = '<h1>Min profil</h1><strong>Karl Roos är <em>snäll</em>!</strong>';
echo strip_tags($str, '<h1><strong>'); 


Som skulle visa:

Kod:

<h1>Min profil</h1><strong>Karl Roos är snäll!</strong>

[forngren]

Citat:

Ursprungligen postat av KarlRoos

Kod:

<h1>Min profil</h1><strong>Karl Roos är snäll!</strong>

Problemet med Karls kod ovan är att den släpper igenom vissa former av javascript, vilket kan (bland annat) leda till XSS:

Kod:

<h1>Min profil</h1><strong onmouseover="alert('XSS!');">Karl Roos är snäll!</strong>

Det är precis som danjel skriver, hyfsat svårt att skriva ett heltäckande skydd själv. Men samtidigt är det riktigt lärorikt, och kan hjälpa dig att göra ett klokare val när du väljer en färdig lösning senare.

P.S. Glöm inte bort att skydda dig mot SQL Injections och en hög med andra otrevligheter...

[danjel]

Ja precis xss, kolla gärna länken jag skickade, han har jobbat som arkitekt på Flickr så han är grymt bra utvecklare

[xatron]

Citat:

Ursprungligen postat av danjel

Ja precis xss, kolla gärna länken jag skickade, han har jobbat som arkitekt på Flickr så han är grymt bra utvecklare

Tack, det var en bra längt!

[linusoleander]

Markdown tillsammans med Redcarpet, helt överlägset.