IT rekvalifikace s garancí práce. Seniorní programátoři vydělávají až 160 000 Kč/měsíc a rekvalifikace je prvním krokem. Zjisti, jak na to!
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Diskuze: HTMLspecialchars

Aktivity
Avatar
David
Člen
Avatar
David:20.2.2017 19:09

Zdravím, je tato syntaxe správně a funkční proti XSS ? Díky

while ($row=mysqli_fetch_object($clanek))

               {
                   echo "<table>";
                         echo     " <tr><td class=\"section-heading\"</td<td>". htmlspecialchars($row->title,ENT_QUOTES) ."</td></tr>";
                         echo                                       "<tr><td>". htmlspecialchars($row->content,ENT_QUOTES) ."</td></tr>";
                   echo "</table>";
               }
 
Odpovědět
20.2.2017 19:09
Avatar
Matúš Petrofčík
Tvůrce
Avatar
Odpovídá na David
Matúš Petrofčík:20.2.2017 19:23

Za mňa áno. V zásade by si mal všetky premenné vypisované do šablóny vypisovať pomocou funkcie htmlspecialchars. Zdroj.

<?php echo htmlspecialchars($string, ENT_QUOTES, 'UTF-8');

Prípadne môžeš používať

<?php echo htmlentities($string, ENT_QUOTES);

Edit: pozri aj sem: https://www.owasp.org/…_Cheat_Sheet#…

Editováno 20.2.2017 19:26
Nahoru Odpovědět
20.2.2017 19:23
obsah kocky = r^2 ... a preto vlak drnká
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 2 zpráv z 2.