strip_tags($var); вроде так

А такой вариант не подойдет?

<?php echo htmlspecialchars_decode($myrow['text']); ?> 

Как правильнее?

<?php echo strip_tags(htmlspecialchars($myrow['text'])); ?>

<?php echo strip_tags(htmlspecialchars($myrow['text'])); ?> не произвело эфекта - всё равно теги видны

Теги и так будут видны, он заменяются на &#186; что-то типа этого, а потом в браузере заменяются на углы... если надо чтобы выдавало прямо &#186 то пиши

echo hmlspecialchars(htmlspecialchars($str));

echo hmlspecialchars(htmlspecialchars($myrow['text']));

непонятно зачем дважды писать hmlspecialchars.

но все равно непомагает выдает fatalerror

Эпик-топик.
Не надо читать, что вот надо всё пихать в htmlspecialchars, а потом всё в неё и пихать и не думать.
Нужно разобраться с тем, что она делает.

Сложно сказать, что она делает.
Но я так понимаю, она нужна для того, чтобы обезопасить свой сайт он приёма каких-то ненужных символов.
И поэтому, кстати, непонятно зачем использовать эту функцию при выводе из базы. Если бы мы вводили данные, тогда понятно, для перестраховки. А при выводе же все данные безопасны т.к. введены нами. И там нет подозрительных тегов

если сложно сказать что она делает..лучше почитай мануал потом используй только ее

гениально.

Guest2011
опасны сами символы <> , а то, во что их превращает эта функция - уже не опасно)) говоря простым языком.
Если ты думал, что она просто выкидывает все спецсимволы из строки - ты ошибался)

да хоть оно и не опасно, но оно портит вид страницы.
надо же как-то убрать теги, отобразившиеся после использования функции
от видимости посетителей

Так, так... Стойте. Вы чего тут развели?

Вам умный человек сказал

Я же и пытаюсь узнать как правильно вывести текст из базы.
А что получается, что надо хранить текст в базе без тегов.

У Е.Попова есть файл view_post, который выводит разные страницы в зависимости от id, переданного методом GET.Если использовать в базе только чистый текст без тегов, то тогда для вывода каждой страницы надо будет создавать собственный файл, ведь содержимое не шаблонное а отличается . А так всё компактно выводится одним файлом view_post

Т.е. если текста очень много и я его держу в поле text где же тогда хранить теги?

Что есть у пОпова, надо засунуть туда, от чего происходит его фамилия.
Я не собираюсь опять рыться в этом дерьме. Достаточно этого.

Guest2011

Вот вам и пожалуйста. А вы говорите попов хорош для тычка.

Щас человеку жаль своего сайта, он же делал его долго и мучительно, под монотонное соплежувалово жени (это еще выдержать надо), да еще не дай Бог заплатил полтора косаря за это дерьмо. А теперь ему приходится метаться по форумам с тайной надеждой, что его не нае обманули в лучших чувствах, что все вокруг идиоты, а истина где то рядом, стоит только две буквы изменить.

На выйдет.

Я конечно извиняюсь, но как насчет функции

html_entity_decode?

Функция html_entity_decode — Преобразует HTML сущности в соответствующие символы

Есть еще htmlspecialchars_decode(), причем тут это?

Guest2011
Получается, что надо действовать от ситуации, когда применять одну функцию, когда другую, когда писать ББ-декодер.
Более подробно на сайте irbis-team.com
Так же советую заглянуть в мою подпись, там много полезного.

Смотри, если безопасно ввёл данные, значит и обрабатывать не надо. Зачем, если сам же вводил? Если же это чат, то тут без ББ-декодера не разобраться.

Это не чат. Это просто файл веб-страница, который генерирует в зависимости от переданного в него методом GET id другие страницы. Если Вы читали ссылку в моём первом посте, то там на этой странице разбирается как создать не чат, а обычную страницу, которая из базы выводит содержимое поля text.
Ладно придется разбираться без вашей помощи. Читать учебники. Разберусь и без вас

Guest2011
смешной ты ) тут разбираться-то нечего, ты просто определись что тебе вообще нужно конкретно и все.

если тебе нужно просто избавиться от тэгов попробуй strip_tags()
а если что-то еще - составь себе регулярку.

Guest2011
глупый, чтоли?
Если в TEXT попадает информация ОТ ПОЛЬЗОВАТЕЛЯ, то надо обезопасить, если в TEXT попадает информация от администрации, которая сама себя ломать не будет - тогда не надо использовать защиту.

inpost
Поддерживаю - правильно сказал.

Тогда зачем twin в своей статье говорит, что надо обрабатывать?

Цитирую "Так вот, чтобы такого никогда не было, нужно всегда обрабатывать данные перед выводом в поток функцией htmlspecialchars()"
ссылка на статью http://irbis-team.com/15/10/2

Смотри, поставь перед своим выводом вот это '.html_entity_decode($myrow['text'],ENT_QUOTES).' - и попробуй. Напишешь что произошло?!

Guest2011
Это относится к descriptions, keywords, данным различных форм (во время редактирования).
А если так:

$text = bbDecoder(htmlspecialchars($text));

Всё, теперь основные теги работают, все ненужное - вырезали. bbDecoder - самописная функция, которая заменяет [b] на <strong>. Поэтому сначала уберутся все спецсимволы из того текста, потом заменятся [ b] на <strong>, и мы получим отформатированный текст. Как на этом форуме. Попробуй написать отдельно <strong> - ничего не выйдет, а если [ b] - всё работает.

Guest2011

Guest2011

Guest2011
Может для того, что бы ты случайно себя же не хакнул?!

Cначала реши какая структура сайта будет у тебя. Где данные будут храниться (понятно что в БД) - в каких таблица? Вернее даже в какой? Одна таблица - много строк с данными, и вытаскивай их по id.

Guest2011
Различай информацию, находящуюся как описание страницы, как тело страницы, как информация, полученная от пользователя, информация полученная от администратора, и информация, полученная от простого управляющего сайтом.
Сделал ты сайт блондинке, она не знает, что в metakeys нельзя помещать спец.символы, поэтому обезопасил себя от притензий. Есть тело документа, куда выводится информация страницы - тут уже можно и не заниматься безопасностью, если уверен в его содержимом, а вот информацию, приходящую от пользователя надо дважды проверить.

А насчет вывода страниц - я так и не понял, что ты этим хотел сказать. Структуры бывают разные, не смотря на то, что я сейчас работаю по модели Ирбиса, свои личные проекты я делаю на упрощенной MVC.

Guest2011
Капец...
1. в БД хранишь без тегов (с псевдотегами при надобности)
2. выводишь в браузер, обработав htmlspecialchars и ф-цией для преобразования псевдотегов

Всё.

Invis1ble
А если я использую FCKEditor - тоже псевдотегами пользоваться?

m4a1fox
к сожалению, а может к счастью, я не знаю, что есть FCKEditor...

Guest2011

Invis1ble
Ладно.... Тогда проехали

Guest2011

Вопрос почти в тему! Как заменить одинарный апостроф на

’

Если только его, то str_replace =)

inpost
Хотя это не настолько важно.

Хорошо. Разобрались.Всё же в любом случае если даже текст введен собственноручно в базу:

Вот изучай.

Вот это форум программистов (якобы), здесь часто пишут в вопросах HTML-код и SQL-запросы.
Все эти тексты идут в базу данных, а потом выводятся на страницах.
Если предположить, что никто не хочет ничего ломать, стоит ли экранировать данные?

Стоит ли что делать, простите?

экранировать, ничего-ничего

Я просто не улавливаю связи между экранированием и сабжем. По этому вопрос понятен чуть менее чем нисколько.

В частности связь с этим:

Я делаю так:

function protect($string) {
	$string = mysql_real_escape_string($string);
	$string = strip_tags($string);
	$string = addslashes($string);
	$string = htmlspecialchars($string);
	$string = trim($string);
	
	return $string;
}

alex12060, для каких целей вы это делаете?

alex12060
жесть)

Это не жесть, это параноя.

alex12060
Я бы еще добавил stripslashes и unset.
Чтобы уж прям наверняка проблем не было.

format c
чего мучаться...