Uchkuma пишет:Символ как символ. Амперсанд как амперсанд. А какие символы вы считаете опасными? И что вообще вы в данном случае подразумеваете под опасностью?
Ну например, < и > надо экранировать в постах от пользователей. Иначе смогут спокойно вставлять хтмл код, что не есть гуд.
Так вот и & экранируется даже в ссылках от пользователей, что портит передаваемые в них параметры
JustUserR пишет:Символ амперсанда используется для специального htmlencode-кодирования информация и таким образом выполняет роль экранирующего элемента - соответственно возможность его прямог использование пользователем может привести к возможности вывода любых HTML-сущностей Тем не менее в передаваемых URL-запросах используется система кодирования urlencode которая работает несколько иным образом - в частности кодировкать символы в ней можно с помощью символа % - что обеспечивает дополнительное разделение уровней интерптерации значений гиперссылок в исходном HTML-коде и позволяет передавать в них любую информацию
Я конечно рад, что вы хорошо начитаны... но как мне поступить? Если я уберу экранирование этого символа, то это будет угроза безопасности (но зато параметры в ссылках не будут портится). А если так и оставлю - безопасно, но толку от кликабельных ссылок нет...
Все-таки в известных форумах как-то эти вопросы решают?
|