dqs86517 2014-10-16 21:45
浏览 45

HtmlPurifier解码输入

i try to get htmlpurifier to work with my code as following:

if(isset($_POST['selectors_data'])) {
 //$selectors_data = tep_db_prepare_input($_POST['selectors_data']);
 $selectors_data2 = $_POST['selectors_data'];

 $config = HTMLPurifier_Config::createDefault();
 $purifier = new HTMLPurifier($config);
 $selectors_data = $purifier->purify($selectors_data2);
}

i try to insert (newvalue): <i class="fa fa-angellist"></i>

on my localhost all magic quotes and references to magic quotes are turned off

When data is saved (via jQuery $.post )

$.post('ajax_editor.php', {
        action: 'update',
        selectors_id: id,
        selectors_field: field,
        selectors_data: newvalue
    }, function (data) {

        $(' #container ').html(data);

    }, "json");

Via the following query the data is told to insert:

tep_db_query("update " . TABLE_BTS_CSS_SELECTORS . " set selectors_name = '" . $selectors_data . "' where selectors_id = '" . (int)$selectors_id . "'");

And via the following db function the data is actually inserted:

function tep_db_query($query, $link = 'db_link') {
global $$link;

$result = mysqli_query($$link, $query) or tep_db_error($query, mysqli_errno($$link), mysqli_error($$link));

return $result;
}

So, nothing is replaced/stripped/removed in the whole process except with htmlpurifier But the data is stored as:

<i class=""fa"></i>

I am out of options.

As my site is in utf-8 i also tried:

 $purifier = new HTMLPurifier();
 $selectors_data = $purifier->purify($selectors_data2);

So without config

When i test on the Htmlpurifier(click to see attempt) demo site , all seems fine.

UPDATE: i am now 100% sure the issue is NOT created by HTMLpurifier.There seems to be some hidden unknown code that converts $_POST statements (sorry)

SOLVED found the "hidden code as:

    // handle magic_quotes_gpc turned off.
  if (!get_magic_quotes_gpc()) {
    do_magic_quotes_gpc($HTTP_GET_VARS);
    do_magic_quotes_gpc($HTTP_POST_VARS);
    do_magic_quotes_gpc($HTTP_COOKIE_VARS);
  }

Where ofcourse for each $_GPC or $HTTP_GPC slashes are add. so a SIMPLE stripslashes($_POST['selectors_data']) BEFORE HTMLPurifier let it work :)

Sorry for the big post

  • 写回答

1条回答 默认 最新

  • doulaozhi6835 2014-10-17 09:42
    关注

    The script itself has code in it that acts as magic_quotes_gpc ON, so when it is detected that it is turned OFF in your server environment, the function is executed.

    The solution in above specific case is a simple stripslashes() before the data will be inserted to database.

    So HTMLPurifier does it job as supposed to.

    评论

报告相同问题?

  • c++解码,需要将前端传过来的转换成中文 c++ c语言 前端
    2022-07-01 11:23
    回答 4 已采纳 #include <stdio.h> #include <string.h> #include <windows.h> int main() { char
  • 如何解码这个时间字符串 javascript 前端
    2022-01-14 14:46
    回答 4 已采纳 通过正则表达式提取各个部分(年、月、日等),将其转换为ISO 8601格式,将其解析为Date实例,然后添加 80 分钟 const str = "20220112201146" const rx
  • 如何解码base64并且储存?(微信小程序) javascript node.js 前端
    2022-09-11 23:26
    回答 1 已采纳 三个思路:(1)传base64给后端,由后端来解决解析并下载图片(2)参考这个文章:https://www.pudn.com/news/62849c5febb030486dae8734.html(3)
  • XSS 漏洞
    2022-05-01 21:44
    ROODIE.Z的博客 请确定应用程序对同一输入不做两次解码。对客户端提交的数据进行过滤,一般建议过滤掉双引号(”)、尖括号(<、>)等特殊字符,或者对客户端提交的数据中包含的特殊字符进行实体转换,比如将双引号(”)转换成其...
  • python2.7 编码解码问题 python
    2022-06-10 16:07
    回答 1 已采纳 cahrdet有置信度的,换句话说,它也不是百分百自信检查出来的一定正确
  • C# 如何解码SSR? c#
    2022-03-02 04:26
    回答 2 已采纳 楼上的解释是正确的,但算法似乎有点问题,以下是我修改后的示例: using System; using System.Text; namespace ConsoleApp4 { class
  • ts aes解码相关 python
    2021-07-21 08:51
    回答 1 已采纳 可以参考https://blog.csdn.net/sprawling/article/details/50456743
  • YII2框架表单-model(验证)-HTML_help部件 URL_help部件 以注册页面为实例
    2016-11-22 11:45
    DHTcsdn的博客 '两次输入的密码不一致!' ],    //compareValue:比较常量值 operator:比较操作符    [ 'age' ,  'compare' ,  'compareValue'  => 30,  'operator'  =>  '>=' ];    default : 默认值||...
  • ffmpeg扩展支持dtsx解码 c语言
    2023-04-18 16:16
    回答 6 已采纳 如果你在已有解码器的情况下,请先确认你的解码器是否可以解码dtsx文件检查dtsx解码时codecid是否匹配检查是否可以正确调用到解码器检查通路是否正常检查avpacket及buffer
  • 压缩包HASH文件解码问题 哈希算法
    2023-04-03 22:58
    回答 1 已采纳 不知道你这个问题是否已经解决, 如果还没有解决的话: 你可以看下这个问题的回答https://ask.csdn.net/questions/336408我还给你找了一篇非常好的博客,你可以看看是否有帮
  • ffmpeg解码PS流 c++ centos 图像处理
    2022-12-27 15:58
    回答 3 已采纳 在解析 PS 流时,你需要使用 FFmpeg 的 av_read_frame 函数来读取音频数据。这个函数从输入流中读取一帧媒体数据并将其存储在 AVPacket 结构体中。 你可以使用 av_pa
  • 「第三章」跨站脚本攻击(XSS)
    2022-01-22 11:30
    hackjacking的博客 存储型XSS 把用户输入的数据存储在服务器端 具有很强的稳定性 又称持久型XSS(Persistent XSS) [前端--->后端--->数据库--->前端] 3.DOM Based XSS(DOM型XSS) 通过修改页面的DOM节点形成的XSS [前端] 「3.2XSS攻击...
  • python 编码解码问题 python
    2022-10-25 18:10
    回答 1 已采纳 因为是unicode-escape,不是string_escape
  • thinkphp等框架开发中容易忽略的xss攻击及应对XSS攻击方法
    2020-08-17 11:06
    ganggang4321的博客 ”, 例如“j”可以编码为“j”或“j ” 上述代码解码之后如下: a 能不能让所有进入这个页面的人都弹框? 当然可以了:用iframe标签编码 这种写法,同样既没有script关键字,又没有alert关键字。 过滤特殊字符 php给...
  • PHP学习笔记
    2019-10-09 04:50
    dijinggui4623的博客 //语法错误(syntax error)在语法分析阶段,源代码并未被执行,故不会有任何输出。 /* 【命名规则】 */ 常量名 类常量建议全大写,单词间用下划线分隔 // MIN_WIDTH ...变量名建议用下划线方式分隔 // $var_name...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 HLs设计手写数字识别程序编译通不过
  • ¥15 Stata外部命令安装问题求帮助!
  • ¥15 从键盘随机输入A-H中的一串字符串,用七段数码管方法进行绘制。提交代码及运行截图。
  • ¥15 TYPCE母转母,插入认方向
  • ¥15 如何用python向钉钉机器人发送可以放大的图片?
  • ¥15 matlab(相关搜索:紧聚焦)
  • ¥15 基于51单片机的厨房煤气泄露检测报警系统设计
  • ¥15 路易威登官网 里边的参数逆向
  • ¥15 Arduino无法同时连接多个hx711模块,如何解决?
  • ¥50 需求一个up主付费课程