Pasar codigo a una linea

Iniciado por dimitrix, 22 Junio 2007, 15:34 PM

0 Miembros y 1 Visitante están viendo este tema.

dimitrix

necesito mostrar este codigo en mi web:

    <object type="application/x-shockwave-flash" style="width:425px;height:350px" data="http://video.google.com/googleplayer.swf?docId=<?php echo $so?>">
    <param name="movie" value="http://video.google.com/googleplayer.swf?docId=<?php echo $so?>" />
    </object>


lo que pasa es que si lo pongo en modo "textarea" es decir el que tiene la barrita para mover el texto arriba y a los lados, es vulnerable a ataques xss, pero si lo pongo en modo "text" el tipico de una linea, no es vulnerable.

Por lo que me gustaria ponerlo en una linea si puede ser. O si no ayudarme para que no sea vulnerable a ataques xss.




Hans el Topo

$so k contiene el id del video=? pués filtra ese id sin más...
no tiene más misterio xD
 

dimitrix

si pero lo necesito para que muestre la variable, mira lo hago para eso:

http://www.dimitrix.es/googlevideos/




Hans el Topo

filtra la variable sin más para comprobar que son datos válidos... es lo que te comente anteriormente, si sabes que carácteres se permiten, solo admite ese tipo y listo xD

por cierto el menú de la derecha al pasar el ratón empieza a hacer cosas raras como vibrar todos sin razón xD
 

dimitrix

Si bueno, se vuelve la letra más pequeña XD. pero lo de filtrar no lo tendria que poner el la pagina index.php para que si metes hola quede en la pagina solucion.php:
Citar
    <object type="application/x-shockwave-flash" style="width:425px;height:350px" data="http://video.google.com/googleplayer.swf?docId=hola<?php echo $so; ?>">
    <param name="movie" value="http://video.google.com/googleplayer.swf?docId=hola<?php echo $so; ?>" />
    </object>

pero si hicieramos solucion.php?so=</textarea><script>alert(/xss/)</script>
apareceria la cajina o no ¿?




Azielito

si apareceria en la cajita, yo no acabo de entender que es lo que quieres ñ_ñ

Al parecer lo que quieres es poner videos de google en tu web, cierto?

podrias hacer una funcion en JS o PHP y unicamente pasarle el valor ID del video, claro, puedes filtrar los catacteres "<",">","/","'" y listo, no habra problemas :) aaaaaa, y tambien el caracter "%" ;)

y entonces, en solucion.php ya no habra problemas de que te pudieran meter los codigos malditos

Hans el Topo

eso de simplemente filtrar en javascript no lo hagas, debes filtrar los datos al recibirlos (en el php) ya que el javascript se puede desactivar, con filtrar en php bastaría pero para que quede más bonito en ambos lados y fuera xD
 

dimitrix

y cual seria el codigo para filtrar ¿?  ;D sorry




Hans el Topo

www.google.com

strreplace o algo similar, buscate la vida!!

primero deberías saber que filtrar, segundo buscarlo y sustituirlo...

disparar una función javascript al pulsar sobre el text y en el php
 

dimitrix

Bueno ya esta:
    <object type="application/x-shockwave-flash" style="width:425px;height:350px" data="http://video.google.com/googleplayer.swf?docId=<?php echo $so?>"> <param name="movie" value="http://video.google.com/googleplayer.swf?docId=<?php echo $so?>" />     </object>