Pasar codigo a una linea

dimitrix · 22 Junio 2007, 15:34 PM

necesito mostrar este codigo en mi web:

    <object type="application/x-shockwave-flash" style="width:425px;height:350px" data="http://video.google.com/googleplayer.swf?docId=<?php echo $so; ?>">
    <param name="movie" value="http://video.google.com/googleplayer.swf?docId=<?php echo $so; ?>" />
    </object>

lo que pasa es que si lo pongo en modo "textarea" es decir el que tiene la barrita para mover el texto arriba y a los lados, es vulnerable a ataques xss, pero si lo pongo en modo "text" el tipico de una linea, no es vulnerable.

Por lo que me gustaria ponerlo en una linea si puede ser. O si no ayudarme para que no sea vulnerable a ataques xss.

Hans el Topo · 22 Junio 2007, 16:56 PM

$so k contiene el id del video=? pués filtra ese id sin más...
no tiene más misterio xD

dimitrix · 22 Junio 2007, 16:59 PM

si pero lo necesito para que muestre la variable, mira lo hago para eso:

http://www.dimitrix.es/googlevideos/

Hans el Topo · 22 Junio 2007, 17:59 PM

filtra la variable sin más para comprobar que son datos válidos... es lo que te comente anteriormente, si sabes que carácteres se permiten, solo admite ese tipo y listo xD

por cierto el menú de la derecha al pasar el ratón empieza a hacer cosas raras como vibrar todos sin razón xD

dimitrix · 22 Junio 2007, 19:12 PM

Si bueno, se vuelve la letra más pequeña XD. pero lo de filtrar no lo tendria que poner el la pagina index.php para que si metes hola quede en la pagina solucion.php:

Citar
<object type="application/x-shockwave-flash" style="width:425px;height:350px" data="http://video.google.com/googleplayer.swf?docId=hola<?php echo $so; ?>">
<param name="movie" value="http://video.google.com/googleplayer.swf?docId=hola<?php echo $so; ?>" />
</object>

pero si hicieramos solucion.php?so=</textarea><script>alert(/xss/)</script>
apareceria la cajina o no ¿?

Azielito · 22 Junio 2007, 20:19 PM

si apareceria en la cajita, yo no acabo de entender que es lo que quieres ñ_ñ

Al parecer lo que quieres es poner videos de google en tu web, cierto?

podrias hacer una funcion en JS o PHP y unicamente pasarle el valor ID del video, claro, puedes filtrar los catacteres "<",">","/","'" y listo, no habra problemas

aaaaaa, y tambien el caracter "%"

y entonces, en solucion.php ya no habra problemas de que te pudieran meter los codigos malditos

Hans el Topo · 22 Junio 2007, 22:31 PM

eso de simplemente filtrar en javascript no lo hagas, debes filtrar los datos al recibirlos (en el php) ya que el javascript se puede desactivar, con filtrar en php bastaría pero para que quede más bonito en ambos lados y fuera xD

dimitrix · 22 Junio 2007, 23:09 PM

y cual seria el codigo para filtrar ¿?

sorry

Hans el Topo · 22 Junio 2007, 23:49 PM

www.google.com

strreplace o algo similar, buscate la vida!!

primero deberías saber que filtrar, segundo buscarlo y sustituirlo...

disparar una función javascript al pulsar sobre el text y en el php

dimitrix · 27 Junio 2007, 14:41 PM

Bueno ya esta:

Código [Seleccionar]

    <object type="application/x-shockwave-flash" style="width:425px;height:350px" data="http://video.google.com/googleplayer.swf?docId=<?php echo $so; ?>"> <param name="movie" value="http://video.google.com/googleplayer.swf?docId=<?php echo $so; ?>" />     </object>