Как бюджет на сайт связан с оборотом?
То есть если у Газпрома оборот, скажем (я не знаю), $100 млрд. то за $100 тыс. они не получат нормальный сайт? Вы о чем, ребята?
Я знаю, что сайт может стоить дорого, но это не необходимое и тем более не достаточное условие.
Кнол — не аналог википедии. Ни разу, я бы сказал это принципиально другой подход.
Википедия — сборник объективных фактов и прочей энциклопедической информации, ну или как минимум в идеале хочет им быть, а кнол — сборник субъективных мнений по любым вопросам, ну или хочет им быть.
mb_string никто не отменял.
Мой вариант хорош, когда нужно за 20 минут сделать страничку которую можно комментировать, но не пригоден для серьезных проектов.
Другие варианты пригодны для серьезных проектов, но трудо- и ресурсоемки.
Договорились? =)
Я знаю как работает str_replace и я точно знаю, что так получится безопасно. Я знаю как работают регулярки, с ними тоже получится безопасно, чаще всего, но не очень быстро. Я не знаю как внутри работает тот же simpleXML или strip_tags и не могу гарантировать, что он правильно обработает очередной хак типа \0. Копаться в исходниках? Можно, но сложно. На самом деле я не считаю, что вариант который я предложил — лучший. Я даже не уверен, что он хороший. Но он быстро и надежно работает. Это просто вариант. Плохой или хороший — зависит от ситуации. Вот и все.
Да… Постараюсь не матюгнуться. Ему мешает, то что весь ввод фильтруется. То есть вы ввели в поле script как надо, а он взял и заменился на сервере. Чудеса)
То есть если слово script было в тексте, читатель его прочитает как надо, потому что человек не отличит с русскую от английской. А браузер отличит и не воспримет это странный тег с запрещенными символами. Вот и все.
Несмотря на то как меня заминусовали, я вам отвечу.
Если заменить все вхождения слова script на sсript с русской с то:
1. Если кулхацкер попробует вставить <\0script>… <\script> то скрипт не выполнится. Потому что это будет не тег script, а «невалидный мусор», но безвредный.
2. Если добрый пользователь введет <\0strong>… <\strong> то увидит как и ожидал жирный текст. В статье ведь говорится, что обычные тэги хочется оставить?
Метод ОЧЕНЬ не затратный по ресурсам, если сравнивать его даже с регэкспами.
Что я прочитал недостаточно внимательно?)
Смысл в том, что это по крайней мере безопасно и не требовательно к ресурсам. На хабра так по крайней мере раньше было сделано. К тому же невалидный мусор будет только там, где постараются кулхацкеры. Это не очень страшно, имхо.
То есть если у Газпрома оборот, скажем (я не знаю), $100 млрд. то за $100 тыс. они не получат нормальный сайт? Вы о чем, ребята?
Я знаю, что сайт может стоить дорого, но это не необходимое и тем более не достаточное условие.
И гугл в «поисковая ЭВМ».
Википедия — сборник объективных фактов и прочей энциклопедической информации, ну или как минимум в идеале хочет им быть, а кнол — сборник субъективных мнений по любым вопросам, ну или хочет им быть.
Мой вариант хорош, когда нужно за 20 минут сделать страничку которую можно комментировать, но не пригоден для серьезных проектов.
Другие варианты пригодны для серьезных проектов, но трудо- и ресурсоемки.
Договорились? =)
То есть если слово script было в тексте, читатель его прочитает как надо, потому что человек не отличит с русскую от английской. А браузер отличит и не воспримет это странный тег с запрещенными символами. Вот и все.
Если заменить все вхождения слова script на sсript с русской с то:
1. Если кулхацкер попробует вставить <\0script>… <\script> то скрипт не выполнится. Потому что это будет не тег script, а «невалидный мусор», но безвредный.
2. Если добрый пользователь введет <\0strong>… <\strong> то увидит как и ожидал жирный текст. В статье ведь говорится, что обычные тэги хочется оставить?
Метод ОЧЕНЬ не затратный по ресурсам, если сравнивать его даже с регэкспами.
Что я прочитал недостаточно внимательно?)