Опасные HTML символы

Опасен ли символ "&", если в сообщениях от пользователей не заменять на "&"?

При замене параметры в ссылках бьются, что плохо.

Символ как символ. Амперсанд как амперсанд. А какие символы вы считаете опасными? И что вообще вы в данном случае подразумеваете под опасностью?

Символ амперсанда используется для специального htmlencode-кодирования информация и таким образом выполняет роль экранирующего элемента - соответственно возможность его прямог использование пользователем может привести к возможности вывода любых HTML-сущностей Тем не менее в передаваемых URL-запросах используется система кодирования urlencode которая работает несколько иным образом - в частности кодировкать символы в ней можно с помощью символа % - что обеспечивает дополнительное разделение уровней интерптерации значений гиперссылок в исходном HTML-коде и позволяет передавать в них любую информацию

-----
Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/

Ну например, < и > надо экранировать в постах от пользователей. Иначе смогут спокойно вставлять хтмл код, что не есть гуд.

Так вот и & экранируется даже в ссылках от пользователей, что портит передаваемые в них параметры


Я конечно рад, что вы хорошо начитаны... но как мне поступить? Если я уберу экранирование этого символа, то это будет угроза безопасности (но зато параметры в ссылках не будут портится). А если так и оставлю - безопасно, но толку от кликабельных ссылок нет...

Все-таки в известных форумах как-то эти вопросы решают?

Во-первых, не экранирование, а мнемонизация.
Во-вторых, никакой угрозы безопасности нет. Вам в предыдущем посте объяснили, к чему это может привевсти:Не вижу никакого смысла их запрещать. Пусть пользователь выведет знак Евро, если ему хочется. Он присутствует далеко не на всех клавиатурах. Или, например, знак копирайта. Не в правилах web 2.0 ограничивать пользователя в свободе без видимых на то причин.

Для решения вашей задачи можно использовать такой способ кодирования пользовательских данных который обеспечит одновременно и превращение символов апмерсанда в HTML-сущнсть а также сохранение правильности ссылок - для этого необходимо произвести предварительную замену сводящуюся к замене всех составляющих URL-ссылок на соответствующие urlencode-представления с покомпонентым кодированием - и также возможная замена всех явных вхождений амперсанда в JS-код на его ASCII-представление - и уже в последующем действии осуществить htmlentities-кодирование
Разрешение на использование амперсанда в явной форме в пользователских сообщениях действительно не представляет никакой реальной угрозы для безопасности - его упоминание было сделано в рамках описания общей схемы предварительного шифрования пользовательской информации - когда ее перевод между различными элементами может привести к изменению уровня трактовки и появлению ошибки или возможности для потенциального взлома

-----
Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/

JustUserR, т.е. можно спокойно разрешать использование & без преобразования в амперсанд?

Вообще я мало что понял из вашего поста... слишком сложно описана информация для меня...

Во время осуществления обработки на серверном PHP-скрипте введенного пользователем текстового содержимого - действительно возможно игнорировать просмотр и нахождения амперсандов то есть оставлять их в оригинальном виде - при этом такое поведение обработчика не должно приводить к появлению каких-лиюо проблем с безопасностью Тем не менее в общем случае наличие символов амперсандов в исходном HTML-коде в реальном представлении может приводить к некоторым проблемам - в частности при анализе в JS-скрипте некоторого HTML-кода все входящие в него символа амперсанда не используемые для кодирования будут представлены в виде &amp; автоматически - что может в некоторых случаях существенно повлиять на разбор полученной информации на клиенсткой стороне

-----
Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/

В чём может быть опасность символов? Если отправить то, что ввел пользователь, в браузер, то там может оказаться скрипт, ссылка на скрипт, ссылка на картинку на другом сайте.
Что еще опасного может быть?

С Новым Годом.

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.