htmlspecialchars + arrays

dART · #1 (**permalink**) 08/04/2009, 02:05

Hola,

Supongamos que recogo los valores de un formulario y los meto en un array:

Código PHP:

  $form = array( 
   "nombre" => $_POST['nombre'], 
   "edad" => $_POST['edad'], 
   "comentario" => $_POST['comentario'] 
);

Y como medida de seguridad, una de las cosas que hago, es tratar ambos datos recogidos.

Código PHP:

  $comentario = htmlspecialchars($form['comentario']);

Y sí funciona. Pero tengo que ir formateando array por array. Mi pregunta es si no hay una forma de hacerlo global. Algo así como:

Código PHP:

  htmlspecialchars($form); // Warning, array given... ya sabéis el error que da..

Y que formatee todo el array entero.

Kleimore · #2 (**permalink**) 08/04/2009, 02:38

No soy muy bueno en PHP que digamos, la solucion que se me ocurre es hacer un for each del array :D

Ronruby · #3 (**permalink**) 08/04/2009, 06:46

Pues, eso mismo. Hacer una funcion que recorra el array y valla aplicando htmlspecialchars() a cada uno de sus elementos. Hasta podrias hacerla recursiva.

foreach($array as $key => $value) {
$array[$key] = htmlspecialchars($value);
}

dART · #4 (**permalink**) 08/04/2009, 11:14

Hola,

Gracias Kleimore, gracias Ronruby.
Probaré y os cuento qué tal.

Un saludo!

pateketrueke · #5 (**permalink**) 08/04/2009, 11:18

Código PHP:

  array_map('htmlspecialchars', $array);

dART · #6 (**permalink**) 14/04/2009, 02:31

Hola,

Cita:

Iniciado por pateketrueke

Código PHP:

  array_map('htmlspecialchars', $array);

Así, como me explicas, me imprime directamente en pantalla:

Código HTML:

array_map("htmlspecialchars", $postvars);

Ronruby · #7 (**permalink**) 14/04/2009, 12:57

Cita:

Así, como me explicas, me imprime directamente en pantalla:

Huh? Pon el codigo dentro de etiquetas PHP <?php y ?>

dART · #8 (**permalink**) 14/04/2009, 15:51

Hola,

Nada, nada. Ya está solucionado. Utilicé -como me indicó Ronruby- un foreach y va de maravilla.

Gracias a todos,
Un saludo.

hoberwilly · #9 (**permalink**) 14/04/2009, 16:06

Muy buenas d-Art,
Si no fuera mucha la molestia según tu ejemplo, me interesa este tema asi que podrias compartir como fué la solución.

Gracias,

dART · #10 (**permalink**) 14/04/2009, 16:10

Hola,

Claro que no tí@, para eso estamos. He aquí lo que usé (Ejemeplo de Ronruby):

Código PHP:

  // Recogo los campos con el array 
$form = array( 
   "nombre" => $_POST['nombre'], 
   "mensaje" => $_POST['mensaje'] 
); 
 
// Recorro todo el array formateando los caracteres html 
foreach($form as $key => $value){ 
   $form[$key] = htmlspecialchars($value); 
}

hoberwilly · #11 (**permalink**) 14/04/2009, 16:23

Agradesco por compartir d-ART, esta muy entendible.
Asi mismo quisiera tocar un puntito que tiene alguna relación con tu tema...es sobre el uso del htmlspecialchars: 1. En que momento usarlo (ojo k entiendo k la usas para el campo k recojo de la bd) 2. Y xk no usas htmlentities (k de diferencias podria haber) 3. Y en mi pagina yo uso lo siguiente para recoger el campo: <?php echo utf8_decode($row['producto']) ?>.

Mil disculpas por estas preguntas a tu post...gracias.

Ronruby · #12 (**permalink**) 14/04/2009, 16:28

Bueno, a ver si las entendi todas:

1. La puedes usar cuando insertas los datos, o cuando los recuperas. Tu decides como deseas hacerlo, yo acostumbro a transformar los caracteres cuando los recupero de la base de datos (depende el caso).

2. htmlspecialchars convierte solo ciertos caracteres a sus entidades HTML, mientras que htmlentities convierte TODOS.
http://www.php.net/manual/es/functio...ecialchars.php
http://www.php.net/manual/es/function.htmlentities.php

3. xD No es una pregunta ...

dART · #13 (**permalink**) 14/04/2009, 16:38

Hola,

Se me adelantó Ronruby, jeje. Ahi tienes sus respuestas.