Forgot Password ??

PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone

	Registered : 109,038

HOME > PHP > PHP Forum > ขอถามท่านผู้รู้ วิธีป้องกันการกรอก <script>alert('สวัสดี');</script>

ขอถามท่านผู้รู้ วิธีป้องกันการกรอก <script>alert('สวัสดี');</script>

เริ่มหัวข้อใหม่

lex0000

โพสกระทู้ ( 10 )
บทความ ( 0 )

ขอถามท่านผู้รู้ วิธีป้องกันการกรอก <script>alert('สวัสดี');</script>

คือมีอยู่ว่าต้องการกรอกข้อมูล แล้วเก็บไว้ใน ดาตาเบส แล้วทีนี้พอดึงข้อความที่เป็นสคริบ

มาแสดงผลในหน้าเว็บเพจ มันกลับรันสคริป ไม่ทราบว่าจะป้องกันยังไง

เช่น <script>alert('สวัสดี');</script> มันก็จะ อะเลิต ข้อมูล

<script>window.location.href='index.php'</script> มันก็จะไปหน้า index.php

ไม่รู้จะแก้ไขยังไง ช่วยบอกทีคับ

Tag : PHP

Date : 2014-03-28 14:32:12

By : lex0000

View : 1368

Reply : 12

No. 1

คนธรรมดา ไม่พิเศษ

โพสกระทู้ ( 2,311 )
บทความ ( 1 )

ลองดูครับ
Code (PHP)

function clean($input){
	$input = trim($input);
	if(get_magic_quotes_gpc()) {
		$input = stripslashes($input);
	}
	#ตัด html tag
	$input = strip_tags($input);
	return mysql_real_escape_string($input);
}

<?PHP echo clean("<script>alert('สวัสดี');</script>");?>

ผลลัพธ์ มันจะตัด Tag HTML ออก เหลือเพียงแค่สตริงธรรมดา น่าจะโอเคนะ
result

ประวัติการแก้ไข
2014-03-28 14:42:26
2014-03-28 14:43:34

Date : 2014-03-28 14:36:04

By : arm8957

No. 2

lex0000

โพสกระทู้ ( 10 )
บทความ ( 0 )

คือผมอยากได้ออกมาแบบนี้เลย
แสดงก็แสดงข้อมูลแบบไม่ตัดแท็กออกเลย
แค่ไม่ไห้มัน alert หรือ มันทำคำสั่งตาม แท็ก สริปนี้ก็พออ่ะครับพอช่วยได้ไหม
<script>alert('สวัสดี');</script>

Date : 2014-03-28 15:01:00

By : lex0000

No. 3

คนธรรมดา ไม่พิเศษ

โพสกระทู้ ( 2,311 )
บทความ ( 1 )

อะเปลี่ยนใหม่
Code (PHP)

function clean($input){
	$input = trim($input);
	if(get_magic_quotes_gpc()) {
		$input = stripslashes($input);
	}
	$input = htmlspecialchars($input);
	return mysql_real_escape_string($input);
}

echo clean("<script>alert('สวัสดี');</script>");

Date : 2014-03-28 15:05:57

By : arm8957

No. 4

lex0000

โพสกระทู้ ( 10 )
บทความ ( 0 )

อันนี้ก็ไม่ได้อยู่ดีอ่ะครับพี่
ที่อยากได้คือมันไม่ตัดแท็กอะไรเลย
แต่ทำไห้สคริปนี้ไม่ทำงานแค่นั้นพอครับ

จากโค๊ตที่พี่ไห้แก้มันออกมาแบบนี้อ่ะ

ประวัติการแก้ไข
2014-03-28 15:15:37
2014-03-28 15:16:31
2014-03-28 15:22:31

Date : 2014-03-28 15:14:54

By : lex0000

No. 5

Mr.กล้า

โพสกระทู้ ( 5,105 )
บทความ ( 4 )

echo ลงใน text area text box ก็ไม่ได้หรือครับ

Date : 2014-03-28 15:29:16

By : apisitp

No. 6

DreaMer

โพสกระทู้ ( 141 )
บทความ ( 0 )

Code (PHP)

htmlspecialchars();

แค่นี้ก็น่าจะพอนะครับ

ประวัติการแก้ไข
2014-03-28 16:01:50

Date : 2014-03-28 15:58:48

By : dreamt256

No. 7

Guest

ตามคุณ DreaMer เลย ใช้แค่ htmlspecialchars ก็พอครับ ไม่ต้องไป stripslashes, mysql_escape_string

Code (PHP)

echo htmlspecialchars("<script>alert('สวัสดี');</script>");

Date : 2014-03-28 16:09:29

By : เฮ้อ

No. 8

lex0000

โพสกระทู้ ( 10 )
บทความ ( 0 )

ผมแก้ไขได้แล้วนะครับโดยไช้ฟังก์ชั่น ตามนี้ ขอบคุณทุกท่านที่เข้ามาไห้ความช่วยเหลือครับ

Code (PHP)

function html2txt($document){ 
$search = array('@<script[^>]*?>.*?</script>@si',  // Strip out javascript 
               '@<[\/\!]*?[^<>]*?>@si',            // Strip out HTML tags 
               '@<style[^>]*?>.*?</style>@siU',    // Strip style tags properly 
               '@<![\s\S]*?--[ \t\n\r]*>@'         // Strip multi-line comments including CDATA 
); 
$text = preg_replace($search, '', $document); 
return $text; 
}

?>

จาก http://th1.php.net/strip_tags

Date : 2014-03-28 16:42:52

By : lex0000

No. 9

TC Admin

โพสกระทู้ ( 74,059 )
บทความ ( 838 )

Date : 2014-03-29 06:43:35

By : mr.win

No. 10

kungza007

โพสกระทู้ ( 17 )
บทความ ( 0 )

อยากรู้เหมือนกัน

Date : 2014-03-30 23:26:43

By : kungza007

No. 11

Mr.กล้า

โพสกระทู้ ( 5,105 )
บทความ ( 4 )

ตอบความคิดเห็นที่ : 10 เขียนโดย : kungza007 เมื่อวันที่ 2014-03-30 23:26:43

รายละเอียดของการตอบ ::

อ่าน คห. 8 ครับ

Date : 2014-03-31 08:41:16

By : apisitp

No. 12

Guest

ผมไม่รู้ว่ามันคืออะไร? แต่ความต้องการมันน่าจะอยู่ในนี้

Good Luck.

Date : 2014-03-31 09:13:46

By : love9713

ค้นหาข้อมูล

แสดงความคิดเห็น

Re : ขอถามท่านผู้รู้ วิธีป้องกันการกรอก <script>alert('สวัสดี');</script>

รายละเอียด

เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง

โดย

อีเมล์

บวกค่าให้ถูก

<= ตัวเลขฮินดูอารบิก เช่น 123 (หรือล็อกอินเข้าระบบสมาชิกเพื่อไม่ต้องกรอก)

Registered : 109,038

document.write("<font color=996600>[PHP]</font>"); ขอถามท่านผู้รู้ วิธีป้องกันการกรอก <script>alert('สวัสดี');</script>

No. 1

No. 2

No. 3

No. 4

No. 5

No. 6

No. 7

No. 8

No. 9

No. 10

No. 11

No. 12

ค้นหาข้อมูล

อัพโหลดแทรกรูปภาพ

Notice

ขอถามท่านผู้รู้ วิธีป้องกันการกรอก <script>alert('สวัสดี');</script>