AbcLinuxu hledá autory!

Inzerujte na AbcPráce.cz od 950 Kč

Rozšířené hledání

napište » Zprávičky

inzerujte » Pracovní nabídky

Singularity, nejnovější otevřený film od Blender Studia

včera 17:22 | Komunita

Singularity (YouTube) je nejnovější otevřený film od Blender Studia. Jedná se o jejich první 4K HDR film.

Ladislav Hagara | Komentářů: 0

Vyšla hra Život Není Krásný: Poslední Exekuce

včera 16:55 | Zajímavý software

Vyšla hra Život Není Krásný: Poslední Exekuce (Steam, ProtonDB). Kreslená point & click adventura ze staré školy plná černého humoru a nekorektního násilí. Vžijte se do role zpustlého exekutora Vladimíra Brehowského a projděte s ním jeho poslední pracovní den. Hra volně navazuje na sérii Život Není Krásný.

Ladislav Hagara | Komentářů: 1

Fedora Hummingbird Linux

včera 14:00 | Zajímavý projekt

Společnost Red Hat představila Fedora Hummingbird, tj. linuxovou distribuci s nativním kontejnerovým designem určenou pro vývojáře využívající AI agenty.

Pinhead | Komentářů: 4

Dusklight, hra The Legend of Zelda: Twilight Princess na počítačích a mobilních zařízeních

včera 02:22 | Zajímavý software

Hru The Legend of Zelda: Twilight Princess od společnosti Nintendo si lze nově díky projektu Dusklight (původně Dusk) a reverznímu inženýrství zahrát i na počítačích a mobilních zařízeních. Vyžadována je kopie původní hry (textury, modely, hudba, zvukové efekty, …). Ukázka na YouTube. Projekt byl zahájen v srpnu 2020.

Ladislav Hagara | Komentářů: 0

Erlang/OTP 29.0

včera 01:11 | Nová verze

Byla vydána nová major verze 29.0 programovacího jazyka Erlang (Wikipedie) a související platformy OTP (Open Telecom Platform, Wikipedie). Detailní přehled novinek na GitHubu.

Ladislav Hagara | Komentářů: 0

Zranitelnost Fragnesia

13.5. 21:22 | Bezpečnostní upozornění

Po zranitelnostech Copy Fail a Dirty Frag přichází zranitelnost Fragnesia. Další lokální eskalace práv na Linuxu. Zatím v upstreamu neopravena. Přiřazeno ji bylo CVE-2026-46300.

Ladislav Hagara | Komentářů: 1

Sovereign Tech Agency podpoří KDE částkou 1 285 200 eur

13.5. 14:00 | Komunita

Sovereign Tech Agency (Wikipedie) prostřednictvím svého fondu Sovereign Tech Fund podpoří KDE částkou 1 285 200 eur.

Ladislav Hagara | Komentářů: 7

The Android Show | I/O Edition 2026

13.5. 12:55 | IT novinky

Google na včerejší akci The Android Show | I/O Edition 2026 (YouTube) představil celou řadu novinek: Gemini Intelligence, notebooky Googlebook, novou generaci Android Auto, …

Ladislav Hagara | Komentářů: 0

EK chystá pravidla pro věkové omezení sociálních sítí, řekla von der Leyenová

13.5. 12:33 | IT novinky

Evropská komise by do léta mohla předložit návrh normy omezující používání sociálních sítí dětmi v zájmu jejich bezpečí na internetu. Prohlásila to včera předsedkyně EK Ursula von der Leyenová, podle níž řada zemí Evropské unie volá po zavedení věkové hranice pro sociální sítě. EU částečně řeší bezpečnost dětí v digitálním prostředí v již platném nařízení o digitálních službách (DSA), podle německé političky to však není dostatečné a

… více »

Ladislav Hagara | Komentářů: 48

scrcpy 4.0

13.5. 04:11 | Nová verze

Multiplatformní open source aplikace scrcpy (Wikipedie) pro zrcadlení připojeného zařízení se systémem Android na desktopu a umožňující ovládání tohoto zařízení z desktopu, byla vydána v nové verzi 4.0.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 30, poslední 3.4. 20:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Programovací poradna / php jak escapovat url pre A element

Štítky: PHP, programování

Dotaz: php jak escapovat url pre A element

20.1.2014 11:51 gsnak | skóre: 22 | blog: gsnak
php jak escapovat url pre A element

Přečteno: 262×

Odpovědět | Admin

Vypisujem cez PHP na stranke adresu, URL je moja (natvrdo v zdrojaku), a pouzivatel zada len text ktory bude na tuto adresu odkazovat. Bezpecne sa to escapuje takto (vystupom je html):

echo '<a href="http://example.com/123">'.htmlspecialchars($_REQUEST['nazov']).'</a>';

Co ak ale chcem aby pouzivatel zadal aj URL? Je toto bezpecne?

echo '<a href="'.htmlspecialchars($_REQUEST['url']).'">'.htmlspecialchars($_REQUEST['nazov']).'</a>';

Je mozne pouzit tu istu funkciu na escapovanie htmlspecialchars? Alebo tym ze je to v href="__tu__" musim pouzit ineco ine? Co?

Pozn: Realne tam este mam obmedzenie max. dlzky na 1000, htmlspecialchars(substr($_REQUEST['nazov'] ,0,1000)), vynechal som to lebo to s escapovanim priamo nesuvisi.

Čo Rys, to vrah!

Nástroje: Začni sledovat (0) ?

Odpovědi

20.1.2014 12:35 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: php jak escapovat url pre A element

Ak užívateľ zadal celú URL, tak áno, escapovať cez htmlspecialchars(), pretože predpokladá sa, že používateľ vložil už správne naformátovanú URL a treba ošetriť len znaky, ktoré môžu byť konfliktné v HTML (v praxi len znak &). Ak by zadával len časť URL (napr. http://www.example.com/data/<používateľská časť>, potom je bezpečné predpokladať, že je potrebné použiť aj urlencode() na tú časť, ktorú zadal.

20.1.2014 12:48 gsnak | skóre: 22 | blog: gsnak
Rozbalit Rozbalit vše Re: php jak escapovat url pre A element

a ak zadal celu url nie je urlencode treba?

Čo Rys, to vrah!

20.1.2014 14:00 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: php jak escapovat url pre A element

Nie, lebo to zaenkóduje aj také časti, ktoré nemajú byť kódované. Keby si chcel celú URL dať ako parameter do inej URL, potom áno:

http://www.example.com/?redirect_to=<?php echo urlencode($url); ?>

20.1.2014 14:17 gsnak | skóre: 22 | blog: gsnak
Rozbalit Rozbalit vše Re: php jak escapovat url pre A element

Cize spravne je to takto?

echo '<a href="'.urlencode($vstup1).'">'.htmlspecialchars($vstup2)).'</a>';

Čo Rys, to vrah!

20.1.2014 15:07 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: php jak escapovat url pre A element

Nie, nie je to univerzálne. Podľa toho, čo je $vstup1 a čo je $vstup2. Cez urlencode() sa kódujú len niektoré časti URL. htmlspecialchars() zase slúži na vypísanie znakov v HTML a s URL to v podstate nesúvisí. Najlepšie by bolo preštudovať manuál ku týmto dvom funkciám, plus príslušné RFC, ktoré sa zaoberajú URL adresami (v googli hľadať "url rfc") - to je obzvlášť nudné čítanie, ale obávam sa, že to je jediný spôsob ako poňať celú šírku problému.

Alebo sa na to vykašli a neenkóduj nič, kým to funguje. To je síce zneužiteľná chyba, ale v praxi nie príliš často.

20.1.2014 21:48 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: php jak escapovat url pre A element

To je síce zneužiteľná chyba, ale v praxi nie príliš často.

Jde tam strčit JavaScript a přečíst si pomocí něj cookie (pokud nemá nějaký flag?) nebo dělat jiné podobné skopičiny (protože ten JS má nastavené takové to origin policy a tak může číst třeba DOM stránky včetně anti-CSRF tokenů), ne?

20.1.2014 21:37 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: php jak escapovat url pre A element

Toto je špatně. urlencode slouží k escapování parametrů v URL, nikoliv k escapování HTML.

Hello world ! Segmentation fault (core dumped)

20.1.2014 21:51 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: php jak escapovat url pre A element

Pokud používáš UTF-8, PHP 5.4, HTML 4.01 a okolo hodnoty atributu máš uvozovky, stačí použít prosté htmlspecialchars, tedy přesně tak, jak to máš.

Doporučuju používát namísto toho tuto funkci:

function html($str) {
  return htmlspecialchars($str, ENT_COMPAT | ENT_HTML5, 'UTF-8', true);
}

Samozřejmě nahraď ENT_HTML5 a kódování podle toho, co používáš.

A pak:

echo '',
  html($_REQUEST['nazov']), '';

Pak ale není dobré jen tak rovnou použít vstup uživatele bez dalšího ověřování. Co by se stalo, když by někdo vyrobil ošklivý odkaz a poslal ho své oběti? To je však specifické pro každou aplikaci a pokaždé je vhodné to řešit trošku jinak. Rozhodně je však vhodné se nad tím zamyslet.

Hello world ! Segmentation fault (core dumped)

Založit nové vlákno • Nahoru

Tiskni Sdílej: