Salve ho un form con dentro una TEXTAREA, quando clicco su un link che si trova fuori di essa passo all'url della pagina un valore, se il valore è presente, dentro la TEXTAREA appare:
[IM G] INSERIRE QUI L'URL DELL'IMMAGINE [I MG]
Quando premo invio nel form recupero il contenuto della TEXTAREA ed eseguo una INSERT nel database, nel database verrà salvato [IM G] [I MG] per cui il browser durante l'output non potrà interpretare questi comandi e visualizzare l'immagine, allora prima di fare la INSERT devo sostituire con <img src=""> faccio in questo modo:
$cerca = array('[IM G] [I MG]);
$sostituisci = array('<img src="','">');
str_replace($cerca, $sostituisci, $testotextarea)
quando prelevo il contenuto della textarea dal database e lo stampo a video, l'output viene filtrato con la funzione htmlentities per sicurezza e dunque <img src=""> non viene eseguito ma viene stampato a video testualmente.
Faccio allora prima di stampare a video una str_replace anche sull'output che arriva dal database
str_replace(array('<img src="','">'), array( '<img src="', '">'), $output)
in questo modo tutto funziona perfettamente quello che mi preoccupa è il fatto che con la sostituzione rendo eseguibile "> al browser che è la parte finale di <img src=" "> secondo voi per quanto riguarda la sicurezza potrebbe essere un problema? o anche vista interamente <img src=" ">?
[IM G] INSERIRE QUI L'URL DELL'IMMAGINE [I MG]
Quando premo invio nel form recupero il contenuto della TEXTAREA ed eseguo una INSERT nel database, nel database verrà salvato [IM G] [I MG] per cui il browser durante l'output non potrà interpretare questi comandi e visualizzare l'immagine, allora prima di fare la INSERT devo sostituire con <img src=""> faccio in questo modo:
$cerca = array('[IM G] [I MG]);
$sostituisci = array('<img src="','">');
str_replace($cerca, $sostituisci, $testotextarea)
quando prelevo il contenuto della textarea dal database e lo stampo a video, l'output viene filtrato con la funzione htmlentities per sicurezza e dunque <img src=""> non viene eseguito ma viene stampato a video testualmente.
Faccio allora prima di stampare a video una str_replace anche sull'output che arriva dal database
str_replace(array('<img src="','">'), array( '<img src="', '">'), $output)
in questo modo tutto funziona perfettamente quello che mi preoccupa è il fatto che con la sostituzione rendo eseguibile "> al browser che è la parte finale di <img src=" "> secondo voi per quanto riguarda la sicurezza potrebbe essere un problema? o anche vista interamente <img src=" ">?
Ultima modifica:
