Új hozzászólás Aktív témák

• #8 nemmind1_85 csendes tag ddekany #7

  Új Válasz 2009-06-22 11:56:14 #8

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  nemmind1_85

  csendes tag

  válasz ddekany #7 üzenetére

  Utána néztem a dolognak, természetesen van rá megoldás:
  van egy escape nevű módosító:

  php:
  $szoveg="<asdf&asdf>";
  $smarty->assign("szoveg",$szoveg);
  
  tpl:
  {$szoveg|escape}
  
  kimenet:
  &lt;asdf&amp;asdf&gt;

  hogy ne kelljen mindenhova kiírni az "|escape" szöveget, megadhatjuk automatikus módosítónak ezt a php-ben

  $smarty->default_modifiers=array("escape");

  ja és bug vagy nem bug helyett inkább bug vagy feature

• #5 nemmind1_85 csendes tag ddekany #3

  Új Válasz 2009-06-22 10:53:49 #5

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  nemmind1_85

  csendes tag

  válasz ddekany #3 üzenetére

  Szerintem ez nem hiba, ugyanis smarty-val nem csak html-t tudsz előállítani (bár alapvetően ez a feladata), de ha mégis ezt akarsz, akkor neked, vagyis a php programozónak kell gondoskodni a változók html kódolásáról is.
  Ez szerintem hasonló probléma, mint amikor egy formon adsz meg adatokat, amit a db-be akarsz írni. Itt se azon kell filózni, hogy a html, php hibája hogy bele lehet írni sql parancsokat is, hanem a programozónak kell gondoskodni az sql injection védelemről.

Új hozzászólás Aktív témák