etiquetas html atra vez de un textarea

memoadian · #1 (**permalink**) 09/07/2010, 14:15

Hola que tal amigos, gracias a dios, ya me se defender perfectamente en php, y por fin mi sistemita esta listo, pero quiero hacer una implementacion, o sea un sistema de usuarios para que no solo yo meta datos a mis bases.

pero ese no es el problema, resulta que en un campo de la base de datos se meten datos tipo "text", esto trato de hacerlo con un textarea, pero lo que no se es si pudiera validarlo, o si me conviene que le puedan meter etiquetas html o si de plano no, me gustaria saber que me pueden recomendar, como hago para que no se pueda meter html, o si no tiene importancia o si pudieran brindarme algun sitio donde venga informacion al respecto, gracias.

minkweb · #2 (**permalink**) 09/07/2010, 16:41

No se debe, utiliza algo llamado bbcode

http://en.wikipedia.org/wiki/BBCode

saludos

memoadian · #3 (**permalink**) 09/07/2010, 22:45

Ok muchas gracias por la respuesta, ando buscando como evitar la insercion de html en los formularios, pero si alguien tiene algo más, por que supongo que no basta solo con poner los bbcodes si no que tendría que evitarse que el user no pueda meter html, de todos modos leeré el link que me diste a lo mejor ahi viene y ni lo he abierto, muchas gracias de nuevo.

memoadian · #4 (**permalink**) 09/07/2010, 22:51

ah vaya he leido que con strip_tags, supongo que debo pasar el string que da el textarea, por esta funcion, y así elimina todo el html, gracias, ahora a buscar como implementar el bbcode.

Nota: parece que se puede usar tambien htmlspecialchars como en este foro, para que muestre todo, pero no es lo que buscó :P

abigor66 · #5 (**permalink**) 10/07/2010, 09:25

no está de más que leas como evitar inyección sql
http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL
es uno de los principales problemas que debes evitar al habilitar tus formularios.

suerte.

memoadian · #6 (**permalink**) 10/07/2010, 14:00

hola abigor66, ya he leido acerca de eso, parece un poco complicado, y he tomado las medidas necesarias como la funcion mysql_real_escape_string, el no usar SELECT * FROM, o usarlo lo menos posible, y un script de prueba para ver si me server distinguia y escapaba las comillas dobles, etc. no sé si será suficiente, pero por intenciones no queda.

Por cierto, que para hacer bbcodes, lei que se usa str replace. así que bueno a probar se ha dicho. thanks.

minkweb · #7 (**permalink**) 11/07/2010, 06:34

Mira quizas esta funcion te ayude..

Código:

	public function Seguro($Valor){
		$Valor = trim(htmlentities($Valor));
		if(get_magic_quotes_gpc()) $Valor = stripslashes($Valor);
		$Valor = mysql_real_escape_string($Valor);
		return $Valor;
	}

Es muy buena para la seguridad de todo lo que entra.. pasala con un for a las variables GET, POST, SESSION Y COOKIE..

Por ejemplo si intentan escribirte <script>, esa funcion lo transformara a <script>, osea que no dañas el texto y evitas que entre codigo no deseado

Saludos

osqar · #8 (**permalink**) 11/07/2010, 07:28

Sacale todos los tags html usando la funcion strip_tags.

memoadian · #9 (**permalink**) 12/07/2010, 10:54

OK minkweb, muchas gracias por la funcion, así lo haré, y gracias tambien oscar ya habia mencionado que usaria esa funcion, se agradece el interes, minkweb +karma :)