Есть форма ввода данных для поиска по сайту, какой самый надёжный способ для того, чтоб нельзя было в неё вводить данные типа:

<script>alert("Я злой хакер!8)");</script>

А то сейчас у меня в форму такие данные вводятся вызывая при этом сбой в работе JS скриптов.

Яростный МечGororкакой самый надёжный способ для того, чтоб нельзя было в неё вводить данные типа:заменять спецсимволы html на сервере.

Ну это тоже конечно, но у меня прежде чем добраться до сервера, данные сперва по js скриптам бегают, ну всякие транслиты, обрезания лишнего, фильтры и тд. (для снятия лишней нагрузки на сервер) и вот в них и происходит сбой.

Мне желательно сразу данные из input "обезвредить" и потом уже с ними работать и отправлять на сервер.

Как можно это реализовать?

Яростный МечGororКак можно это реализовать?заменять угловые скобки и амперсанд на их спецсимволы.


теперь эту строку можно будет воткнуть на страницу через innerHTML (ты ведь так делаешь?)

Да, в конечном итоге данные выводятся через innerHTML



А как мне ещё от круглых скобок избавиться?

Я добавил:



заменяю в слове script "c" англискую на "c" русскую (так просто для надёжности))

Ещё убрал (;)

Яростный МечGororА как мне ещё от круглых скобок избавиться?зачем?

экранировать надо только угловые скобки и амперсанд.
остальное смысла не имеет.

Goror
а это вообще нафига? )

Не знаю.. у меня что-то сбой даёт вот такой ввод:

<script>alert(111);</script>

убираю "(" и работает нормально, то есть: <script>alert111);</script> ?

-k2-Goror,

может для надежности было бы лучше весь <script>..</script> выкусывать?

Может быть. А это как? Мне в принципе нужно сохранять исходный вид текста, но только делать его "без обидным" для JS скриптов.


А щас проверил, у меня чисто alert(1); вызывает сбой, а func(1); к примеру не даёт сбой.



То есть служебная функция JS даёт сбой...

Что делать?

-k2-Goror,




както кривовато :) но вроде работает
я бы лучше посмотрела в сторону готового решения по валидации данных
хотя бы как сделано

Будем проверять! ::))

-k2-Goror,

таких <script></script> может быть не одна штука

Неужели нет в js каких нибудь спец функций как в php к примеру htmlspecialchars и тд?

Чтоб без отказано и в одну строчу.

-k2-Goror,

а тебе уже сказали - на сервере, все равно отправлять туда данные,
а если пользователь скрипты отключил? все эти проверки отвалятся
не надо серверу жизнь облегчать, пусть пашет, он железный

Ну до сервера нужно данные довести, а если у меня будет скрипт сбой давать до отправки данных, что делать тогда?

У меня он поэтапно работает, сперва отслеживает ввод данных, затем транслейт функции, затем обрезка лишнего, фильтры и тд и тп. И это всё на JS. А потом уже на сервер.

-k2-Goror,




открой эту страничку с включенным джаваскриптом и выключенным,
данные у тебя все равно уйдут на сервер, то есть на сервере полюбому
нужно предусмотреть проверку данных,транслит, и все такое,
а зачем двойная работа?
я конешно утрирую, без джаваскриптов сейчас уже наверное и сайтов
работающих не осталось :) ну мало :),
но обрабатывать входящие данные на сервере прийдется


Ну тут в "лобовую", при нажатии кнопки save, данные через GET запрос, прям в URL строке передаются, а моя форма ввода работает через асинхронные передачи данных, то есть я могу и не менять URL. Ну и на счёт "всю работу отдавать серверу". Ну можно и так, но зачем гонять десятки лишних запросов, когда можно обходиться одним?)

-k2-у всех разное представление о вредных
и полезных данных

А что там долго думать, если вводимые пользователем данные, взаимодействуют с скриптами и тд, нарушая при этом их функциональность и создавая потенциальную угрозу, значит данные вредные:) Ежели не мешают работе сервера, не грузят его и тд. Значит полезные данные!)

-k2-Goror,

по твоей логике все входные данные вредны :)


Почему все?) Я ведь написал (те которые взаимодействуют с скриптами, нарушая их работу!)

Если к примеру мне в форму введут таймер с интервалом 1 мили.сек и будут отправлять запросы серверу или что-то подобное)

-k2-Goror,

но они же грузят сервер :) ну ладно это все лирика

для валидации данных на клиенте можно потрогать например
jquery.validate.js, но вообще для валидации данных подход другой
- данные не чистятся за пользователем, а проверяются, не прошли
проверку - не отправляются, пусть сам вводит корректные данные
на хабре можно в частности статьи поискать

Я редко пользуюсь jquery скриптами, они конечно удобные, но довольно массивные библиотеки, + сложно что-то поменять в структуре (даже незначительно)

p.s мне легче самому написать нужную функцию, при этом она будет в 10-100 раз меньше готовых библиотек)

Ну это чисто мой подход)

ИзопропилGororМне желательно сразу данные из input "обезвредить" и потом уже с ними работать и отправлять на сервер.
это не отменяет валидации на сервере

Это понятно, в целом я пока только с alert(); проблему нашел, а так в целом норм.

Да, конечно основная проверка должна быть на сервере, "клиент" может хоть свой комп спалить, это его проблемы)

Но если к примеру есть форма ввода "большой" информации, человек сидит пишет доклад) Всё ок! и вдруг где то на 100001 строчке ввёл слово "alert();", просто в качестве текста и всё, скрипт завис, писатель ругает матом всё и всех и не может понять в чём дело, я чисто об этом подумал)