phpbb Countdown переделать под показ ссылки

[mike2003]

Название расширения: phpbb Countdown
Автор: dmzx
Описание расширения: создание отсчета до даты на страницах
Скачать: https://www.phpbb.com/customise/db/exte ... untdown_5/
Язык: en

Это расширение выводит текст рядом с счетчиком или после завершения.

Хочется что бы в этот текст можно было вставлять ссылку, используя например html. Но текст в настройках преобразуется utf8_normalize_nfc (я так понял) и все теги превращаются в

вместо

Код: Выделить всё

Hello <b>world!</b>

Если пойти в место вставки

и заменить {COUNTDOWN_COMPLETE} на код, то он показывается.

Как надо передать данные в БД, что бы теги сохранились для нормальной замены на html в браузере?

[Татьяна5]

В БД ничего менять не надо
Можно преобразовывать скобки обратно перед вставкой, но это и то не совсем хорошо в плане безопасности

[mike2003]

а что тут опасного?
я вот так сделал - добавил htmlspecialchars_decode при считывании

Код: Выделить всё

		'COUNTDOWN_TEXT'			=> (isset($this->config['countdown_text'])) ? htmlspecialchars_decode($this->config['countdown_text']) : '',
		'COUNTDOWN_COMPLETE'		=> (isset($this->config['countdown_complete'])) ? htmlspecialchars_decode($this->config['countdown_complete']) : '',

Отправлено спустя 2 минуты 11 секунд:
и надо писать теги без "
<a href='http://htmlbook.ru/example/knob.html'>Абсолютная ссылка1</a>

[Татьяна5]

Если в БД попадёт вредоносный код, то на выходе он ещё и выполнится

[mike2003]

А как он туда попадет? взломают? Тогда эта проблема будет волновать меня меньше всего.
А с другой стороны, ведь куча расширений прописывают html. Например рекламные блоки. Там разве не опасно?
Да и если взломать, то ведь можно будет поднасрать кучей других методов более явных.
или я как то не так мыслю?

[Татьяна5]

А как он туда попадет?

Через какую-либо уязвимость. Но - если код в итоге не выполнится, то он не принесёт вреда

Там разве не опасно?

Опасно