Как безопасно заполнить value для option?

0

2

Достаточно ли в select.option.value экранировать «\» все одинарные и двойные кавычки, а также сам «\»?

Т.е., например, хватит ли перловой функции quotemeta?

Спасибо!

P.S. Прошу прощения за то, что ошибся раздел форума - есть Web-development рядом, просто промахнулся.

Ссылка

←	Может кто нибудь показать красоту с++?

Зшифрован ли файл ansible

→

Ты про XSS?

pru-mike ★★
(23.02.18 13:34:37 MSK)

Ссылка

Угловые скобки и амперсанд ещё как минимум

Вот готовый модуль: http://search.cpan.org/~gaas/HTML-Parser-3.72/lib/HTML/Entities.pm Ну или вот такой костыль, мне его было достаточно:

sub html_entity{
        local @_=@_;
        map{ $_='' unless defined $_;s/&/&amp;/g;s/"/&quot;/g;s/</&lt;/g;s/>/&gt;/g;s/'/&#39;/g} @_;
        return wantarray?@_:join("\n",@_);
}

disarmer ★★★
(23.02.18 13:36:13 MSK)

Ответ на: комментарий от disarmer 23.02.18 13:36:13 MSK

Проблема в том, что в итоге я вижу в select'е буквально то, на что был заменён текст после entities. Работает правильно, если вставить между открывающим/закрывающим тегами <option> и </option>, но не работает в самом value.

DRVTiny ★★★★★
(24.02.18 03:05:54 MSK) автор топика

Ответ на: комментарий от DRVTiny 24.02.18 03:05:54 MSK

В value обычно вставляют какой-нибудь числовой id, по которому на сервере значение селектят из базы. Опять же никто не мешает сделать decode_entities на сервере.

Olegymous ★★★
(24.02.18 08:18:26 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Может кто нибудь показать красоту с++?

Development

Зшифрован ли файл ansible

→

Похожие темы