abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 22:00 | Komunita

    V červenci loňského roku organizace Apache Software Foundation (ASF) oznámila, že se částečně přestane dopouštět kulturní apropriace a změní své logo. Dnes bylo nové logo představeno. "Indiánské pírko" bylo nahrazeno dubovým listem a text Apache Software Foundation zkratkou ASF. Slovo Apache se bude "zatím" dál používat. Oficiální název organizace zůstává Apache Software Foundation, stejně jako názvy projektů, například Apache HTTP Server.

    Ladislav Hagara | Komentářů: 3
    včera 17:33 | Nová verze

    Byla vydána (𝕏) srpnová aktualizace aneb nová verze 1.104 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.104 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 0
    včera 15:33 | IT novinky

    Spotify spustilo přehrávání v bezztrátové kvalitě. V předplatném Spotify Premium.

    Ladislav Hagara | Komentářů: 0
    včera 15:00 | IT novinky

    Spoluzakladatel a předseda správní rady americké softwarové společnosti Oracle Larry Ellison vystřídal spoluzakladatele automobilky Tesla a dalších firem Elona Muska na postu nejbohatšího člověka světa. Hodnota Ellisonova majetku díky dnešnímu prudkému posílení ceny akcií Oraclu odpoledne vykazovala nárůst o více než 100 miliard dolarů a dosáhla 393 miliard USD (zhruba 8,2 bilionu Kč). Hodnota Muskova majetku činila zhruba 385 miliard dolarů.

    Ladislav Hagara | Komentářů: 1
    10.9. 21:22 | Nová verze

    Bylo vydáno Eclipse IDE 2025-09 aneb Eclipse 4.37. Představení novinek tohoto integrovaného vývojového prostředí také na YouTube.

    Ladislav Hagara | Komentářů: 0
    10.9. 18:22 | IT novinky

    T-Mobile od 15. září zpřístupňuje RCS (Rich Communication Services) zprávy i pro iPhone.

    Ladislav Hagara | Komentářů: 3
    10.9. 13:22 | IT novinky

    Společnost ARM představila platformu Arm Lumex s Arm C1 CPU Cluster a Arm Mali G1-Ultra GPU pro vlajkové chytré telefony a počítače nové generace.

    Ladislav Hagara | Komentářů: 0
    10.9. 05:44 | Nová verze

    Unicode Consortium, nezisková organizace koordinující rozvoj standardu Unicode, oznámila vydání Unicode 17.0. Přidáno bylo 4 803 nových znaků. Celkově jich je 159 801. Přibylo 7 nových Emoji.

    Ladislav Hagara | Komentářů: 0
    9.9. 21:00 | IT novinky Ladislav Hagara | Komentářů: 17
    9.9. 18:33 | Nová verze

    Realtimová strategie Warzone 2100 (Wikipedie) byla vydána ve verzi 4.6.0. Podrobný přehled novinek, změn a oprav v ChangeLogu na GitHubu. Nejnovější verzi Warzone 2100 lze již instalovat také ze Snapcraftu a Flathubu.

    Ladislav Hagara | Komentářů: 1
    Pro otevření více webových stránek ve webovém prohlížečí používám
     (83%)
     (7%)
     (2%)
     (2%)
     (4%)
     (2%)
    Celkem 164 hlasů
     Komentářů: 12, poslední 10.9. 13:00
    Rozcestník

    Dotaz: php jak escapovat url pre A element

    20.1.2014 11:51 gsnak | skóre: 22 | blog: gsnak
    php jak escapovat url pre A element
    Přečteno: 217×

    Vypisujem cez PHP na stranke adresu, URL je moja (natvrdo v zdrojaku), a pouzivatel zada len text ktory bude na tuto adresu odkazovat. Bezpecne sa to escapuje takto (vystupom je html):

    echo '<a href="http://example.com/123">'.htmlspecialchars($_REQUEST['nazov']).'</a>';

    Co ak ale chcem aby pouzivatel zadal aj URL? Je toto bezpecne?

    echo '<a href="'.htmlspecialchars($_REQUEST['url']).'">'.htmlspecialchars($_REQUEST['nazov']).'</a>';

    Je mozne pouzit tu istu funkciu na escapovanie htmlspecialchars? Alebo tym ze je to v href="__tu__" musim pouzit ineco ine? Co?

    Pozn: Realne tam este mam obmedzenie max. dlzky na 1000, htmlspecialchars(substr($_REQUEST['nazov'] ,0,1000)), vynechal som to lebo to s escapovanim priamo nesuvisi.

    Čo Rys, to vrah!

    Odpovědi

    AraxoN avatar 20.1.2014 12:35 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
    Rozbalit Rozbalit vše Re: php jak escapovat url pre A element
    Ak užívateľ zadal celú URL, tak áno, escapovať cez htmlspecialchars(), pretože predpokladá sa, že používateľ vložil už správne naformátovanú URL a treba ošetriť len znaky, ktoré môžu byť konfliktné v HTML (v praxi len znak &). Ak by zadával len časť URL (napr. http://www.example.com/data/<používateľská časť>, potom je bezpečné predpokladať, že je potrebné použiť aj urlencode() na tú časť, ktorú zadal.
    20.1.2014 12:48 gsnak | skóre: 22 | blog: gsnak
    Rozbalit Rozbalit vše Re: php jak escapovat url pre A element
    a ak zadal celu url nie je urlencode treba?
    Čo Rys, to vrah!
    AraxoN avatar 20.1.2014 14:00 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
    Rozbalit Rozbalit vše Re: php jak escapovat url pre A element
    Nie, lebo to zaenkóduje aj také časti, ktoré nemajú byť kódované. Keby si chcel celú URL dať ako parameter do inej URL, potom áno:

    http://www.example.com/?redirect_to=<?php echo urlencode($url); ?>
    20.1.2014 14:17 gsnak | skóre: 22 | blog: gsnak
    Rozbalit Rozbalit vše Re: php jak escapovat url pre A element

    Cize spravne je to takto?

    echo '<a href="'.urlencode($vstup1).'">'.htmlspecialchars($vstup2)).'</a>';
    Čo Rys, to vrah!
    AraxoN avatar 20.1.2014 15:07 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
    Rozbalit Rozbalit vše Re: php jak escapovat url pre A element
    Nie, nie je to univerzálne. Podľa toho, čo je $vstup1 a čo je $vstup2. Cez urlencode() sa kódujú len niektoré časti URL. htmlspecialchars() zase slúži na vypísanie znakov v HTML a s URL to v podstate nesúvisí. Najlepšie by bolo preštudovať manuál ku týmto dvom funkciám, plus príslušné RFC, ktoré sa zaoberajú URL adresami (v googli hľadať "url rfc") - to je obzvlášť nudné čítanie, ale obávam sa, že to je jediný spôsob ako poňať celú šírku problému.

    Alebo sa na to vykašli a neenkóduj nič, kým to funguje. To je síce zneužiteľná chyba, ale v praxi nie príliš často.
    Jendа avatar 20.1.2014 21:48 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: php jak escapovat url pre A element
    To je síce zneužiteľná chyba, ale v praxi nie príliš často.
    Jde tam strčit JavaScript a přečíst si pomocí něj cookie (pokud nemá nějaký flag?) nebo dělat jiné podobné skopičiny (protože ten JS má nastavené takové to origin policy a tak může číst třeba DOM stránky včetně anti-CSRF tokenů), ne?
    Josef Kufner avatar 20.1.2014 21:37 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: php jak escapovat url pre A element
    Toto je špatně. urlencode slouží k escapování parametrů v URL, nikoliv k escapování HTML.
    Hello world ! Segmentation fault (core dumped)
    Josef Kufner avatar 20.1.2014 21:51 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: php jak escapovat url pre A element
    Pokud používáš UTF-8, PHP 5.4, HTML 4.01 a okolo hodnoty atributu máš uvozovky, stačí použít prosté htmlspecialchars, tedy přesně tak, jak to máš.

    Doporučuju používát namísto toho tuto funkci:
    function html($str) {
      return htmlspecialchars($str, ENT_COMPAT | ENT_HTML5, 'UTF-8', true);
    }
    
    Samozřejmě nahraď ENT_HTML5 a kódování podle toho, co používáš.

    A pak:
    echo '',
      html($_REQUEST['nazov']), '';
    
    Pak ale není dobré jen tak rovnou použít vstup uživatele bez dalšího ověřování. Co by se stalo, když by někdo vyrobil ošklivý odkaz a poslal ho své oběti? To je však specifické pro každou aplikaci a pokaždé je vhodné to řešit trošku jinak. Rozhodně je však vhodné se nad tím zamyslet.

    Hello world ! Segmentation fault (core dumped)

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.