Inutilizar código html

DjNelson · #1 (**permalink**) 01/09/2004, 13:11

Tengo una página en php en la que hay un formulario con cajas de texto en la que el usuario puede escribir algo (por ejemplo su nombre), luego se guardan los campos de texto en una base en mysql y se muestran en pantalla más tarde...

El problema es que saco por pantalla el campo completo, es decir si el usuario escribe juan por pantalla sale juan, pero si al usuario le dá por escribir <b>juan</b> pues no sale eso, si no que sale juan en negrita...

Lo que quiero hacer es evitar que el usuario pueda escribir código html en la caja de texto o, en caso de que lo escriba, eliminarlo o inutilizarlo...

Alguna idea o consejo?

Saludos.

jpinedo · #2 (**permalink**) 01/09/2004, 13:37

Pasa el texto por la función htmlentities():
http://www.php.net/manual/es/function.htmlentities.php

También puedes utilizar strip_tags()
http://www.php.net/manual/es/function.strip-tags.php

saludos

DjNelson · #3 (**permalink**) 01/09/2004, 13:56

Era lo que buscaba. Gracias jpinedo. Por cierto tu Paginator puede serme muy útil.

Saludos.

rasmarko · #4 (**permalink**) 01/09/2004, 17:47

Por si no han leído, existe una vulnerabilidad de strip_tags() en PHP que hace un mes y medio aproximadamente fue corregido.

Aunque sea una vulnerabilidad de Cross-Site-Script es de ponerese alertas.

Corrigen dos agujeros de seguridad en PHP
http://www.diarioti.com/gate/n.php?id=7274

Asi que mi recomendación general sería utilizar el siguiente código de fusión:

Código PHP:

  <?php 
$cadena = htmlentities(strip_tags($cadena));
?>

Siendo esta una alternativa para corregir el error, pero que mejor que actualizar nuestro PHP bajando los respectivos parches.

Saludos.