Htmlsprcialchars в com_content

[maeln0r]

День добрый добавил в /administrator/components/com_content/admin.content.html.php дополнительное поле, везде где надо прописал параметры, все работает. Кроме одного. При добавлении в БД режутся все HTML форматирование, как про htmlspecialchars. На каком моменте я так и не понял, может быть кто знает? Заранее спасибо за ответ)

[karabert]

The FILTER MASK Parameter

Finally, there are some mask constants you can pass in as the fifth parameter that allow you to bypass portions of the filtering:

$address = JRequest::getVar('address', 'default value goes here', 'post','validation type',mask type);

    JREQUEST_NOTRIM - prevents trimming of whitespace
    JREQUEST_ALLOWRAW - bypasses filtering
    JREQUEST_ALLOWHTML - allows most HTML. If this is not passed in, HTML is stripped out by default.

Note. These are static variables not strings. Do not use quotes around them

(c) http://docs.joomla.org/Retrieving_data_from_GET_and_POST_requests

[maeln0r]

В том то и дело не найду где передается все это, что бы фильтр применить(( глаза уже убил(

[karabert]

В том то и дело не найду где передается все это, что бы фильтр применить(( глаза уже убил(

Когда скрипт получает Post, get, session (нужное подчеркнуть) данные

Если написать просто JRequest::getVar('address'); , то функция профильтрует (в выше приведенном тексте написано об этом: HTML is stripped out by default.)

Чтобы HTML остался нужно пятым параметром скормить функции константу JREQUEST_ALLOWHTML


пример: JRequest::getVar('address',NULL,NULL,NULL,JREQUEST_ALLOWHTML);

[maeln0r]

Собственно проблему решил, спасибо)

[maeln0r]

Если кому то интересно.
/public_html/administrator/components/com_content/helper.php
$youarg= JRequest::getVar( 'youarg', '', 'post', 'string', JREQUEST_ALLOWRAW );
                $row->youarg= $youarg;

[karabert]

Если кому то интересно.
/public_html/administrator/components/com_content/helper.php
$youarg= JRequest::getVar( 'youarg', '', 'post', 'string', JREQUEST_ALLOWRAW );
                $row->youarg= $youarg;

Такое изменение небезопасно! Скорее всего можно сделать sql иньекцию.

И зачем $youarg= JRequest::getVar( 'youarg', '', 'post', 'string', JREQUEST_ALLOWRAW );
                $row->youarg= $youarg;
если можно не создавая переменной сразу присвовить?

 $row->youarg = JRequest::getVar( 'youarg', NULL, 'post', 'string', JREQUEST_ALLOWRAW );

Вместо '' ставьте NULL. Так читабельнее.

[klubnichkaaa]

karabert

Чтобы HTML остался нужно пятым параметром скормить функции константу JREQUEST_ALLOWHTML

Как понять пятым я уже что то забыл, у меня такой пример есть и он работает. Но для части сайта такое не прокатило пока не сделал как вы написали!

[karabert]

karabert

Как понять пятым я уже что то забыл, у меня такой пример есть и он работает. Но для части сайта такое не прокатило пока не сделал как вы написали!

 JRequest::getVar('address' /* первый параметр */,NULL /* второй параметр */,NULL  /* третий параметр */,NULL  /* четвертый параметр */, JREQUEST_ALLOWHTML /* пятый параметр */);

[klubnichkaaa]

Но прикол в том что с 1 параметром у меня не работало, а как 5 поставил заработало вот что меня удивило =)