| |
|
|
| | Добрый вечер.
Подскажите, пожалуйста, насколько безопасно на сайтах использовать визуальные редакторы?
HTML код из них в базу данных идёт "как есть"? Идёт загрузка рисунков и.т.д.. Да и вообще никто не мешает отключить javascript-ы и писать что вздумается.. Какие способы обезопаситься?
Такого достаточно?
$value=strip_tags($value, "<s><strike><i><b><br><br/><p><span><a><img><ul><ol><li><blockquote><pre><h2><h3><h4>");
$value=trim($value);
$value = str_replace("<","<", $value);
$value = str_replace(">",">", $value);
$value = str_replace("\"",""", $value);
$value=stripslashes($value);
|
или надо что-то ещё? Планируется виз. редактор поставить на соц. сети.. Боюсь взломов.. | |
| |
|
|
| |
|
|
| |
для: Jaroslav
(24.06.2012 в 17:50)
| | | В них, как правило, встроена куча проверок на стороне сервера. Но вообще это всё разные продукты, и уровень безопасности у них разный. Попробуйте поискать по запросам вроде "уязвимости %wisiwig_name%", "сплойт для %wisiwig_name%" и подобным. | |
| |
|
|
| |
|
|
| |
для: Jaroslav
(24.06.2012 в 17:50)
| | | Лучше пойти другим путём. Пропускать только то что разрешено.
А клиенту выводить только те функции, которые разрешены, к примеру его группе.
Тот же TinyMCE позволяет очень гибко его настраивать.
И попадались библиотеки для него, собственно они не только для него, которые позволяют фильтровать то что пришло. | |
| |
|
|
| |
|
|
| |
для: Jaroslav
(24.06.2012 в 17:50)
| | | Визуальный редактор не защитит вас от взлома.
Если пользователь отключит javascript то сможет послать данные что захочет. проверка должна быть на уровне ваших php скриптов
все данные которые передаются от пользователей надо обязательно проверять. | |
| |
|
|
| |
|
|
| |
для: Jaroslav
(24.06.2012 в 17:50)
| | | addslashes (mysql_real_escape_string) при занесении в базу. htmlspecialchars при выводе.
PS: Зависит от задачи | |
| |
|
|
