Подскажите по javascript - Форум успешных вебмастеров

Soba · 09.04.2017, 10:40

всем привет!

сижу ломаю голову, что то не могу понять как сделать так чтобы из mysql таблицы брались несколько строк и отображались как text, а не html, но при этом был отступ в виде <br> после каждой строки.

делаю на node js и сокетах
получаю значения из бд так

сервер

Код:

...

var reg = '';
for (var i = 0; i < rows.length; i++) {
	reg += rows[i].name;
}

io.emit('reg', { reg: reg }); //тут значение отдается на клиент по сокетам

на клиенте получается так

Код:

socket.on('reg', function (data) {
	$('#reg').text(data.reg); //отдается как text
});

html
Regs: <div id="reg"></div>

мне нужно чтобы данные из БД отдавались как текст, но при этом был перенос строки, в данном примере я получаю всё скопом в одну строку.

editeur · 09.04.2017, 11:00

Попробуй так

reg += rows[i].name + "\n";

или

reg += rows[i].name + "<br/>";

Soba · 09.04.2017, 11:40

пробовал, эти строки отображаются как текст на клиенте т.к. $('#reg').text(сюда попадает значение)
если менять на $('#reg').html(data.reg) то можно передавать теги, но мне нужно получать именно текстом.

Lord_Alfred · 09.04.2017, 11:47

Проблема и в том, как ты хранишь данные в БД, и в том, как выводишь их.

Чтобы точно сказать как тебе нужно решать - нужно знать что у тебя в БД и какой вывод ты ожидаешь.

Soba · 09.04.2017, 11:54

у меня в бд текст в виде username (varchar)
я бы конечно мог не париться и получать данные как html и формировать как мне надо, но дело в том что таким методом можно организовать xss атаку, например если username будет вида <script>alert()</script>

таким образом я и хочу получать данные из БД как текст, что я в принципе и сделал, но не могу понять как сделать перенос строки.

Sox · 09.04.2017, 12:01

Цитата:

Сообщение от Soba

например если username будет вида <script>alert()</script>.

так сделай чтобы в бд такие не поподали юзеры

editeur · 09.04.2017, 13:08

В новых браузерах можно сделать так:

Код:

<div id="reg" style="white-space:pre-line"></div>


reg += rows[i].name + "\n";

Но лучше на сервере делать escape
escape(rows[i].name) + "<br/>";
и использовать .html();

escape может называться по другому, но полюбому в твоем языке должна быть библиотека, которая экранирует html перед выводом.

веломан · 09.04.2017, 13:58

Цитата:

Сообщение от Soba

у меня в бд текст в виде username (varchar)
я бы конечно мог не париться и получать данные как html и формировать как мне надо, но дело в том что таким методом можно организовать xss атаку, например если username будет вида <script>alert()</script>

так в юзернейме не должно быть ничего, кроме -_a-Z0-9
проверяй

а ещё есть htmlspecialchars() (в PHP), но для юзернейма не нужно, там просто проверка

Soba · 09.04.2017, 14:53

я про php знаю, но его нет и не будет в моём приложении, уж так повелось (html5 + node js)

буду проверять юзернейм

editeur · 09.04.2017, 15:08

https://www.npmjs.com/package/escape-html