ХОЧУ! вставить безопасно картинку

[Flanker]

ХОЧУ! вставить безопасно картинку

Я знаю что хотеть не невредно.
Проблема: я вроде бы понимаю логику работы регулятивных выражений но применять их на практике очень тяжело(ну то есть не догоняю).
Для данной ситуации предложите свои технологии использования рисунков пользователями в защищенных систеах.
Спасибо.

 

[denver]

А об чём речь? Позволить пользователям юзать тэг <img>? так это безопасно.
Да, и предложите свою технологию сперва

 

[0xHH]

Под <img> может лежать скрипт...

 

[denver]

Есть эксплойт?

 

[kruglov]

разве что картинка утащит referer, а в referere - SESSID

 

[Flanker]

Задача состоит в том что б разрешить использование только некоторыхтегов но я не знаю как.
у меня пользователь имеет
<image="imаge.jpg" width=400 height=300>
после
$source="...";
$a_row[News]=str_replace("image=","img src=$source/",$a_row[News]);

база получает

<img src="imаge.jpg" width=400 height=300>


этим я пытаюсь не перегрузить пользователя информацией
он выбрал картинку, щелкнул получил тег.

Сначало я Доверял пользователю.

теперь....

не и из-за того что он злоумышленик а то что иногда(!всегда!)
забывает закрыть какой нибуть тег

после того как я провожу экранирование, моя технология теряет смысл.

 

[Кром]

Проверяй код на валидность. Если не закрыты теги выкидывай код нафиг. К тому же есть bb-коды и т.д., которые лучше использовать в этих случаях.

 

[maxru]

Бибитэги 8) однозначно. А всё остальное - экранировать.

-~{}~ 23.07.06 20:29:

И вообще - каждый пользователь - потенциальный злоумышленник, даже модератор

 

[Flanker]

Хоть намекнити что это такое и с чем его кушают, так что б не подавиться?

 

[Кром]

Его кушают с google.com. С yandex.ru тоже не подавишся.