Horror no error

Reynier · #1 (**permalink**) 30/11/2004, 22:22

Hola Foro:
Estoy haciendo un Foro de Discusión y resulta que le dije a unos colegas míos que me dieran una mano trasteandolo y probando los posibles errores. Pues bien uno de ellos se le ocurrio escribir los siguiente en el cuerpo del mensaje:

Código HTML:

 < marquee >Probando si esto sirve < /marquee >

y efectivamente cuando le dio vista previa al mensaje salia la marquesina. Lo probé también poniendo código JavaScript y PHP pero no salío nada. No se cuan seguro sea esto. Como puedo hacer para evitar que me introduzcan cualquier tipo de etiqueta HTML? Los mensajes los muestro de esta forma:

Código PHP:

   nl2br($rpfetch['mensaje']);

Salu2

jpinedo · #2 (**permalink**) 30/11/2004, 23:30

Lo mejor es que no permitas código HTML... sino algunas etiquetas tipo BBCode que puedes controlar fácilmente para dar formato.
Todo el texto lo pasas por una función que convierta los tags HTML como htmlentities() o htmlspecialchars()... y luego cambias los tags propios por los htmls que sí quieres mostrar.

O sea,primero limpias todo el HTML y luego conviertes tus tags propios en HTML. De esa manera el usuario sólo podrá insertar el HTML que esté permitido en tus tags. Y si inserta html, el navegador lo mostrará como código.
Te pongo un ejemplo muy simple:

Código PHP:

  $texto = "Este texto contiene tags <b>html</b> y [negrita]mis propios tags[/negrita]"; 
$texto = htmlentities($texto); 
$texto = str_replace("[negrita]", "<b>", $texto); 
$texto = str_replace("[/negrita]", "</b>", $texto); 
echo $texto;

Verás que el html que ingresa el usuario no le sirve... simpemente servirá lo que formatee con tus etiquetas... y de eso sí tienes control.

Saludos

jpinedo · #3 (**permalink**) 30/11/2004, 23:34

Y claro que funciones para hacer BBcode (o vBcode)... vas a encontrar muchas por ahí... lo que te puse es sólo un ejemplo de cómo deben funcionar...

Saludos

Reynier · #4 (**permalink**) 30/11/2004, 23:42

Ahora me queda una duda, si por ejemlo quiero poner que el codigo que este entre [ HTML ] y [ /HTML ], o [ PHP ] y [ /PHP ] fuese coloreado al igual que lo hace FDW como lo haria?

Salu2

living · #5 (**permalink**) 01/12/2004, 01:22

También puedes usar la funcion strip_tags

http://es2.php.net/manual/es/function.strip-tags.php

Shute · #6 (**permalink**) 01/12/2004, 03:12

Si usar la funcion strip_tags creo que es la recomendada, porque evitas cualquier tag html, y además te permite definir los que quieres que sean permitidos.

jpinedo · #7 (**permalink**) 01/12/2004, 18:19

Bueno... eso depende... porque es un foro... y recuerda que hay usuarios que no emplean tags BBcode ni de nigún tipo... sino que postean todo en texto plano...
Miren este ejemplo:

<a href=#>algo</a>
<span class="esti">texto texto</span>

Si se dan cuenta... ustedes pueden ver las etiquetas que puse arriba. Este foro no las eliminó... y eso tiene una razón. A veces los usuarios quieren postear su código para que se les ayude... Si hubiéramos hecho strip_tags() a mi ejemplo de arriba sólo iba a salir en el foro:

algo
texto texto

Y claro... no serviría de nada... por eso yo me quedo, en este caso, con una función tipo htmlentities()... que me muestra las etiquetas que puso el usuario (claro, sin interpretarlas para que no haya problemas)

Espero se haya entendido.

Saludos

Shute · #8 (**permalink**) 02/12/2004, 02:07

Pero en la funcion striptags se le pueden pasar como parametros, tags que quieras permitir. Entonces si solo permites lo que creas necesarios también va bien.

jpinedo · #9 (**permalink**) 02/12/2004, 10:48

Creo que no entendiste... la idea no es deshacerte de los tags...
La idea es poder mostrarlos, pero sin que el navegador los interprete.

Saludos