Přihlášení | Registrace

napište » Zprávičky

dnes 05:11 | Komunita

Dlouholetý balíčkář KDE Jonathan Riddell končí. Jeho práci na KDE neon financovala firma Blue Systems, která ale končí (Clemens Tönnies, Jr., dědic jatek Tönnies Holding, ji už nebude sponzorovat), někteří vývojáři KDE se přesunuli k nově založené firmě Techpaladin. Pro Riddella se již nenašlo místo. Následovala debata o organizaci těchto firem, které zahraniční vývojáře nezaměstnávají, nýbrž najímají jako kontraktory (s příslušnými důsledky z pohledu pracovního práva).

|🇵🇸 | Komentářů: 0

Blender Conference 2025

dnes 02:33 | Komunita

V Amsterdamu probíhá Blender Conference 2025. Videozáznamy přednášek lze zhlédnout na YouTube. V úvodní keynote Ton Roosendaal oznámil, že k 1. lednu 2026 skončí jako chairman a CEO Blender Foundation. Tyto role převezme současný COO Blender Foundation Francesco Siddi.

Ladislav Hagara | Komentářů: 0

Výroční zpráva The Document Foundation za rok 2024

dnes 02:22 | Zajímavý článek

The Document Foundation, organizace zastřešující projekt LibreOffice a další aktivity, zveřejnila výroční zprávu za rok 2024.

ZCR | Komentářů: 0

Vivaldi 7.6

včera 17:33 | Nová verze

Byla vydána nová stabilní verze 7.6 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 140. Přehled novinek i s náhledy v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0

Rust 1.90.0

včera 16:22 | Nová verze

Byla vydána verze 1.90.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

Ladislav Hagara | Komentářů: 0

GNUnet 0.25.0

včera 16:11 | Nová verze

GNUnet (Wikipedie) byl vydán v nové major verzi 0.25.0. Jedná se o framework pro decentralizované peer-to-peer síťování, na kterém je postavena řada aplikací.

Ladislav Hagara | Komentářů: 0

Tails 7.0

včera 12:11 | Nová verze

Byla vydána nová major verze 7.0 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Nově je postavena je na Debianu 13 (Trixie) a GNOME 48 (Bengaluru). Další novinky v příslušném seznamu.

Ladislav Hagara | Komentářů: 0

Meta Connect 2025

včera 04:44 | IT novinky

Společnost Meta na dvoudenní konferenci Meta Connect 2025 představuje své novinky. První den byly představeny nové AI brýle: Ray-Ban Meta (Gen 2), sportovní Oakley Meta Vanguard a především Meta Ray-Ban Display s integrovaným displejem a EMG náramkem pro ovládání.

Ladislav Hagara | Komentářů: 0

GNOME 49

včera 01:11 | Nová verze

Po půl roce vývoje od vydání verze 48 bylo vydáno GNOME 49 s kódovým názvem Brescia (Mastodon). S přehrávačem videí Showtime místo Totemu a prohlížečem dokumentů Papers místo Evince. Podrobný přehled novinek i s náhledy v poznámkách k vydání a v novinkách pro vývojáře.

Ladislav Hagara | Komentářů: 11

ROCm 7.0.0

17.9. 16:22 | Nová verze

Open source softwarový stack ROCm (Wikipedie) pro vývoj AI a HPC na GPU od AMD byl vydán ve verzi 7.0.0. Přidána byla podpora AMD Instinct MI355X a MI350X.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (39%)

Gitlab (55%)

Atlassian (6%)

Bitbucket (9%)

Gitea (12%)

Mercurial (9%)

jen git (12%)

jen svn (9%)

Jiné (uvedu v diskusi) (15%)

Celkem 33 hlasů

Komentářů: 5, poslední včera 22:30

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Programovací poradna / php jak escapovat url pre A element

Štítky: PHP, programování

Dotaz: php jak escapovat url pre A element

20.1.2014 11:51 gsnak | skóre: 22 | blog: gsnak
php jak escapovat url pre A element

Přečteno: 217×

Odpovědět | Admin

Vypisujem cez PHP na stranke adresu, URL je moja (natvrdo v zdrojaku), a pouzivatel zada len text ktory bude na tuto adresu odkazovat. Bezpecne sa to escapuje takto (vystupom je html):

echo '<a href="http://example.com/123">'.htmlspecialchars($_REQUEST['nazov']).'</a>';

Co ak ale chcem aby pouzivatel zadal aj URL? Je toto bezpecne?

echo '<a href="'.htmlspecialchars($_REQUEST['url']).'">'.htmlspecialchars($_REQUEST['nazov']).'</a>';

Je mozne pouzit tu istu funkciu na escapovanie htmlspecialchars? Alebo tym ze je to v href="__tu__" musim pouzit ineco ine? Co?

Pozn: Realne tam este mam obmedzenie max. dlzky na 1000, htmlspecialchars(substr($_REQUEST['nazov'] ,0,1000)), vynechal som to lebo to s escapovanim priamo nesuvisi.

Čo Rys, to vrah!

Nástroje: Začni sledovat (0) ?

Odpovědi

20.1.2014 12:35 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: php jak escapovat url pre A element

Ak užívateľ zadal celú URL, tak áno, escapovať cez htmlspecialchars(), pretože predpokladá sa, že používateľ vložil už správne naformátovanú URL a treba ošetriť len znaky, ktoré môžu byť konfliktné v HTML (v praxi len znak &). Ak by zadával len časť URL (napr. http://www.example.com/data/<používateľská časť>, potom je bezpečné predpokladať, že je potrebné použiť aj urlencode() na tú časť, ktorú zadal.

20.1.2014 12:48 gsnak | skóre: 22 | blog: gsnak
Rozbalit Rozbalit vše Re: php jak escapovat url pre A element

a ak zadal celu url nie je urlencode treba?

Čo Rys, to vrah!

20.1.2014 14:00 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: php jak escapovat url pre A element

Nie, lebo to zaenkóduje aj také časti, ktoré nemajú byť kódované. Keby si chcel celú URL dať ako parameter do inej URL, potom áno:

http://www.example.com/?redirect_to=<?php echo urlencode($url); ?>

20.1.2014 14:17 gsnak | skóre: 22 | blog: gsnak
Rozbalit Rozbalit vše Re: php jak escapovat url pre A element

Cize spravne je to takto?

echo '<a href="'.urlencode($vstup1).'">'.htmlspecialchars($vstup2)).'</a>';

Čo Rys, to vrah!

20.1.2014 15:07 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: php jak escapovat url pre A element

Nie, nie je to univerzálne. Podľa toho, čo je $vstup1 a čo je $vstup2. Cez urlencode() sa kódujú len niektoré časti URL. htmlspecialchars() zase slúži na vypísanie znakov v HTML a s URL to v podstate nesúvisí. Najlepšie by bolo preštudovať manuál ku týmto dvom funkciám, plus príslušné RFC, ktoré sa zaoberajú URL adresami (v googli hľadať "url rfc") - to je obzvlášť nudné čítanie, ale obávam sa, že to je jediný spôsob ako poňať celú šírku problému.

Alebo sa na to vykašli a neenkóduj nič, kým to funguje. To je síce zneužiteľná chyba, ale v praxi nie príliš často.

20.1.2014 21:48 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: php jak escapovat url pre A element

To je síce zneužiteľná chyba, ale v praxi nie príliš často.

Jde tam strčit JavaScript a přečíst si pomocí něj cookie (pokud nemá nějaký flag?) nebo dělat jiné podobné skopičiny (protože ten JS má nastavené takové to origin policy a tak může číst třeba DOM stránky včetně anti-CSRF tokenů), ne?

20.1.2014 21:37 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: php jak escapovat url pre A element

Toto je špatně. urlencode slouží k escapování parametrů v URL, nikoliv k escapování HTML.

Hello world ! Segmentation fault (core dumped)

20.1.2014 21:51 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: php jak escapovat url pre A element

Pokud používáš UTF-8, PHP 5.4, HTML 4.01 a okolo hodnoty atributu máš uvozovky, stačí použít prosté htmlspecialchars, tedy přesně tak, jak to máš.

Doporučuju používát namísto toho tuto funkci:

function html($str) {
  return htmlspecialchars($str, ENT_COMPAT | ENT_HTML5, 'UTF-8', true);
}

Samozřejmě nahraď ENT_HTML5 a kódování podle toho, co používáš.

A pak:

echo '',
  html($_REQUEST['nazov']), '';

Pak ale není dobré jen tak rovnou použít vstup uživatele bez dalšího ověřování. Co by se stalo, když by někdo vyrobil ošklivý odkaz a poslal ho své oběti? To je však specifické pro každou aplikaci a pokaždé je vhodné to řešit trošku jinak. Rozhodně je však vhodné se nad tím zamyslet.

Hello world ! Segmentation fault (core dumped)

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje