filtrar etiquetas en sistema de comentarios

alex_dh · #1 (**permalink**) 04/11/2011, 14:48

hola amigos! tengo un sistema de comentarios sin base de datos (almacenados en archivo de texto) y quiero ponerle seguridad para qe no se puedan poner etiquetas html... alguien me ayuda un poco en como integrar este codigo:

Código PHP:

Ver original<?php  
  function filtro ($texto) {  
    $html = array("<", ">");  
    $filtrado = array("&lt;", "&gt;");  
    $final = str_replace($html, $filtrado, $texto);
      
    echo $final;  
  }  
?>

a este codigo que tengo?.. es que no se bien en que archivo ponerlo para que no se ejecuten esas etiquetas...

tengo el archivo de texto donde se guardan los comentarios: comentario.txt

el archivo publicar.php

Código PHP:

  <?php 
$nombre = $_POST['nombre']; 
$comentario = $_POST['comentario']; 
$fecha = date("j-n-Y h:i:s" ); 
$fp=fopen("comentario.txt","a+" ); 
$salida=" 
<!-- start coment ip = {$_SERVER["REMOTE_ADDR"]} --> 
<TABLE bgcolor='#FFFF99' border=1 bordercolorlight='#C0C0C0' bordercolordark='#808080'> 
<TR valign=top> 
<TD width=300 height=28 bgcolor='#FFFF00' style='{border-color : #000000 #000000 #000000 #000000; border-style: solid; }'><div class='wpmd'> 
<div><font face='Adobe Heiti Std R' color='#FF0000' class='ws11'><B><a href='http://taringa.net/$nombre' target='_blank'>$nombre</a></B></font><font face='Adobe Heiti Std R' class='ws11'> comento el <b>$fecha</b></font></div> 
</div> 
</TD> 
</TR> 
<TR valign=top> 
<TD width=300 height=82><div class='wpmd'> 
<div><font face='Adobe Heiti Std R' class='ws10'>$comentario</font></div> 
</div> 
</TD> 
</TR> 
</TABLE> 
<!-- finish coment -->"; 
fwrite($fp,$salida); 
fclose($fp); 
header("Location:comentarios.php" ); 
?>

el archivo donde se hacen los comentarios que es algo asi:

Código PHP:

 
<form name="coment" action="publicar.php" method="post"> 
<p><b>Nick de Taringa!:</b></p> 
<p><input type="text" name="nombre" size="30"/></p> 
<p><b>Comentario:</b> <i>(que sea algo bueno)</i></p> 
<p><textarea name="comentario" style="width:230px;height:100px;z-index:0"></textarea></p> 
<p><input type="submit" name="submit" value="Publicar"/></p> 
</form> 
 
<br /> 
<hr> 
<br /> 
<?php 
readfile ('comentario.txt'); 
?>

como hago para filtrar las etiquetas ahi?

GatorV · #2 (**permalink**) 04/11/2011, 14:52

Si lo que quieres es que no se ejecuten las etiquetas, te recomiendo usar htmlspecialchars, o en su caso, strip_tags, ambas debes de usarlas a la variable que usas para ingresar como comentario.

Saludos.

alex_dh · #3 (**permalink**) 04/11/2011, 15:19

la de strip_tags no entendi muy bien. asi que creo que voy a usar htmlspecialchars
que parecio algo mas facil

Código PHP:

Ver original<?php
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $new; // &lt;a href='test'&gt;Test&lt;/a&gt;
?>

como crees que podria integrarlo?? le pongo las variables que tenia para los comentarios? y en ves de "echo $new" eso lo deberia poner en donde se publicaria el mensaje verdad?

GatorV · #4 (**permalink**) 04/11/2011, 15:38

Solamente debes de aplicarlo a la variable que vas a almacenar, en este caso es $_POST['comentario'].

Saludos.

alex_dh · #5 (**permalink**) 04/11/2011, 15:51

Cita:

Iniciado por GatorV

Solamente debes de aplicarlo a la variable que vas a almacenar, en este caso es $_POST['comentario'].

Saludos.

no te entendi

GatorV · #6 (**permalink**) 04/11/2011, 16:02

Ya tienes ahí los ejemplos, es cuestión de que apliques la función a tu variable que recibe el comentario desde tu formulario HTML, antes de guardarlo en tu archivo de texto.

Si quieres que modifique tu código por ti, no lo haré ya que es algo muy simple que tu deberías de aprender y saber hacerlo.

alex_dh · #7 (**permalink**) 04/11/2011, 16:13

se que tengo que poner en el publicar.php

esto:

Código PHP:

Ver originalfunction filtro ($texto) {  
    $html = array("<", ">");  
    $filtrado = array("&lt;", "&gt;");  
    $final = str_replace($html, $filtrado, $texto);

donde dice esto el publicar.php

Código PHP:

Ver original<?php
$nombre = $_POST['nombre'];
$comentario = $_POST['comentario'];
$fecha = date("j-n-Y h:i:s" );
$fp=fopen("comentario.txt","a+" );
$salida="

pero nose bien como ponerlo a $comentario = $_POST['comentario'];

eso es lo que te dije que no entendi

GatorV · #8 (**permalink**) 04/11/2011, 16:45

No, debes de usar una sola función, ya sea tu función filtrar, o htmlspecialchars (mi recomendación).

Somo usar una función es fácil, revisa este ejemplo:

Código PHP:

Ver originalfunction incrementa($numero) {
     return $numero + 1;
}
 
$numero = 10;
$numero = incrementa($numero);
echo $numero; // imprime 11

Saludos.

alex_dh · #9 (**permalink**) 04/11/2011, 18:09

es lo mismo que preguntar para que a esas etiquetas las procese como texto? o es algo diferente?

espher · #10 (**permalink**) 04/11/2011, 20:04

nose si ya esta tu duda totalmente clara pero como tu dijiste alex solo usa

Código PHP:

Ver originalhtmlspecialchars

y con eso lo tendras que sirve para quitar "el valor html" por desirlo de esta forma

saludos.

alex_dh · #11 (**permalink**) 04/11/2011, 20:51

Cita:

Iniciado por espher

nose si ya esta tu duda totalmente clara pero como tu dijiste alex solo usa

Código PHP:

Ver originalhtmlspecialchars

y con eso lo tendras que sirve para quitar "el valor html" por desirlo de esta forma

saludos.

MUCHAS GRACIAS!!! ME RE SIRVIO!!! ahi te sumo el karma!!

muchas gracias