Válí se ti projekty v šuplíku? Dostaň je mezi lidi a získej cool tričko a body na profi IT kurzy v soutěži ITnetwork summer 2017!
Přidej si svou IT školu do profilu a najdi spolužáky zde na síti :)
Avatar
marcopolo2542001:12.1.2016 17:42

Ahoj,
chtěl bych se zepat..--> https://ctrlv.cz/8p5j
Podle tutorialu "NERS" jsem si udělal web s editorem článků a td..
Do clanky.php jsem si dopsal

. htmlspecialchars($clanek['obsah'])

ale jak je vidět na obrázku např. <p>, <li> a td tak jdou vidět jako normalní text..Šlo by to nějak vyřešit aby to fungovalo jako html kódy a né jako text ?
Díky předem..

Jinak tady je ten kousek souboru který jsem upravoval :

echo('<tr><td><h2>
                                                                <a href="index.php?clanek=' . htmlspecialchars($clanek['url']) . '">
                                                                ' . htmlspecialchars($clanek['titulek']) . '</a>
                                                        </h2>' . htmlspecialchars($clanek['popisek'])
                                                            . htmlspecialchars($clanek['obsah']));
                                                        if (!empty($_SESSION['uzivatel_admin']))
                                                                echo(' <a href="editor.php?url=' . htmlspecialchars($clanek['url']) . '">Editovat</a>
                                                                           <a href="clanky.php?odstranit=' . htmlspecialchars($clanek['clanky_id']) . '">Odstranit</a>
                                                                ');
                                                echo('</td></tr>');
Editováno 12.1.2016 17:44
 
Odpovědět 12.1.2016 17:42
Avatar
IT Man
Redaktor
Avatar
Odpovídá na marcopolo2542001
IT Man:12.1.2016 18:06

Pokud víš, co děláš, mohu ti poslat řešení. Pokud jsi ale začátečník, nedělej to. Vznikne ti akorát díra v systému, díky které budou moci útočníci získat tvá data a i uživatelů (hesla apod.). Nejsem ale žádný bezpečnostní technik, takže k tomu vše. :D

Pro zobrazení kódů musíš odstranit htmlspecialchar­s(), které zobrazuje HTML kód jako prostý text. Po odstranění se ti už bude HTML zobrazovat jako HTML a ne jako text. :)

Akceptované řešení
+20 Zkušeností
+1 bodů
Řešení problému
Nahoru Odpovědět 12.1.2016 18:06
Cokoliv a kdokoliv může jednou uspět.
Avatar
marcopolo2542001:12.1.2016 18:11

No díky moc..A k té bezpečnosti..Ža­čátečník jsem ale tohle by se mi celkem i hodilo..A chtěl jsi tím říct že tady máte kódy které nejsou "bezpečné" ?

 
Nahoru Odpovědět 12.1.2016 18:11
Avatar
IT Man
Redaktor
Avatar
Odpovídá na marcopolo2542001
IT Man:12.1.2016 18:58

Jsou, zde je vše bezpečné (nebo by teda aspoň mělo být :D).
Můžeš to tak udělat, ale pak teda nesmíš nikomu jinému dovolit, aby mohl psát články. Jinak by mohl poškodit nejen tvé stránky, ale i uživatele včetně tebe (viz. http://www.itnetwork.cz/…xss-a-obrana)

Nahoru Odpovědět  +1 12.1.2016 18:58
Cokoliv a kdokoliv může jednou uspět.
Avatar
Tomáš123
Člen
Avatar
Odpovídá na marcopolo2542001
Tomáš123:12.1.2016 19:12

Nejde o samotný výpis. Ide o to, že htmlspecialchars() premení znaky, ktoré majú v HTML význam na entity a potenciálne škodlivý kód, ktorý môže užívateľ zadať sa neaplikuje, iba vypíše. Písať čisté HTML bez zázračnej funkcie normálne ide. Aj výpis je očakávaný, lebo nad kódom má kontrolu ten, kto pozná heslo miesta, kde sú súbory uložené. Obsah z formulára sa obvykle zvykne nasadzovať do predpripravenej šablóny. Vo formulári sa nepoužívajú HTML značky, ale napríklad ich obdoby v hranatých zátvorkách [b][/b], či iné symboly (* tu). Takéto značky môžeš skriptom zmeniť a pomocou htmlspecialchars() zabezpečiť iné neželané vstupy.

Nahoru Odpovědět  +1 12.1.2016 19:12
Keby nebolo Internetu Exploreru, nebolo by dnešného internetu.
Avatar
Odpovídá na IT Man
marcopolo2542001:12.1.2016 19:28

Chápu to dobře že když přistup aby mohl psát články budu mít jen já (popřip. známý) je vše okej ? :)

A jinak Tome taky ti díky :)

 
Nahoru Odpovědět 12.1.2016 19:28
Avatar
marcopolo2542001:12.1.2016 19:33

Nebo když nebude mít admina na 1 (jak je tady v návodech)..
Edit mi nějak nefiči :)

 
Nahoru Odpovědět 12.1.2016 19:33
Avatar
IT Man
Redaktor
Avatar
IT Man:12.1.2016 19:37

Může psát jen ten s admin 1, máš to napsané v tom seriálu.

Nahoru Odpovědět 12.1.2016 19:37
Cokoliv a kdokoliv může jednou uspět.
Avatar
Odpovídá na IT Man
marcopolo2542001:12.1.2016 21:29

Chápu :) Tohle mělo být k tomu příspěvku nad tím..Že pokud nebude mít admin 1 nebo ten s adminem bude můj kamarád tak je to okej ? (Teda pokud s tím něudělá něco on :D )

 
Nahoru Odpovědět 12.1.2016 21:29
Avatar
Bogdan
Redaktor
Avatar
Odpovídá na marcopolo2542001
Bogdan:12.1.2016 23:04

Pokud mu věříš, je to ok(někdy se můžete pohádat a po*ělá ti něco).

Editováno 12.1.2016 23:05
 
Nahoru Odpovědět 12.1.2016 23:04
Avatar
marcopolo2542001:13.1.2016 6:23

Okej,v tom případě díky za vysvětlení

 
Nahoru Odpovědět 13.1.2016 6:23
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 11 zpráv z 11.