Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
PHP 5. На примерах. Авторы: Кузнецов М.В., Симдянов И.В., Голышев С.В. Объектно-ориентированное программирование на PHP. Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель MySQL 5. Авторы: Кузнецов М.В., Симдянов И.В. Программирование. Ступени успешной карьеры. Авторы: Кузнецов М.В., Симдянов И.В. PHP на примерах (2 издание). Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Форум PHP

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум (новые сообщения вниз) Структурный форум

тема: нужен совет по защите от взлома на php/perl

Сообщения:  [1-10]   [11-17] 

 
 автор: KPETuH   (19.09.2008 в 17:02)   письмо автору
 
   для: prosaic   (19.09.2008 в 13:42)
 

введите псевдо теги разрешенные для использования и обрабатывайте их...

  Ответить  
 
 автор: sim5   (19.09.2008 в 13:44)   письмо автору
 
   для: prosaic   (19.09.2008 в 13:42)
 

Каких тегов и зачем? Пусть он втсавляет что хочет. Для того чтобы их увидеть на странице как текст - знаете как, для того чтобы исполнить, то РНР код и так на клиенте никак не будет исполнен, а остальное уже обсуждалось.

PS. Не IFRAME страшен сам по себе, а задачи для которых он может использоваться.

  Ответить  
 
 автор: prosaic   (19.09.2008 в 13:42)   письмо автору
 
   для: sim5   (19.09.2008 в 13:40)
 

Задача - возможность добавления тегов. исключая js, php, perl.

  Ответить  
 
 автор: sim5   (19.09.2008 в 13:40)   письмо автору
 
   для: prosaic   (19.09.2008 в 13:35)
 

Задачу чего? Если блокировать выполненеие любого кода, который ввел автор, то я уже говорил как.

  Ответить  
 
 автор: prosaic   (19.09.2008 в 13:35)   письмо автору
 
   для: sim5   (19.09.2008 в 13:25)
 

хорошо. убираем возможность вставки js и тега <iframe>. как решить задачу?

  Ответить  
 
 автор: sim5   (19.09.2008 в 13:25)   письмо автору
 
   для: prosaic   (19.09.2008 в 13:15)
 

Не знаю о каких конструкторах говорите вы, но, если разговор о JS, то я бы уже предоставил необходимую библиотеку, которая бы выполняла "желания" пользователя, типа div, который слева, хочу видеть справа. Но чтобы мне пользователь всякий скрипт закидывал... Нет уж извольте, таким образом можно на машину клиентов, если такие самопальные шедевры могут видеть все, можно столько накидать. Ведь есть куда страшнее вещи чем JS.

  Ответить  
 
 автор: prosaic   (19.09.2008 в 13:15)   письмо автору
 
   для: sim5   (19.09.2008 в 13:04)
 

как тогда реализованы подобные системы на хостингах, предоставляющих конструкторы сайтов?
воровать куку. да там по сути ничего нет важного. читать - не записывать. домен в данном случае будет не мой, а пользователя. если вы правы, то как же быть с подобными системами. неужели они лишены безопасности?

  Ответить  
 
 автор: sim5   (19.09.2008 в 13:04)   письмо автору
 
   для: prosaic   (19.09.2008 в 12:59)
 

Ах даже так, ну-ну. Есть такая штука, как IFRAME, ничего не мешает мне встроить тогда ее на страницу. Работать конечно она будет у клиента, но ведь запущен он будет от имени вашего домена, а значит мне доступно многое. Да и на клиенте я могу куку свободно уже воровать и себе отсылать.
Не городите ерунды, код, который вводит вам пользователь это "для почитать", а вот то что надо исполнять, то это должно быть только вашим.

  Ответить  
 
 автор: prosaic   (19.09.2008 в 12:59)   письмо автору
 
   для: sim5   (19.09.2008 в 12:55)
 

хорошо. тогда так. для удобства пользователя используется редактор TinyMCE, в котором он, помимо текста может вставить теги. Также существует поле для вставки кода счетчиков на сайт.
Червя то пользователь вставит, но только к себе на страницу. Мне же надо обезопасить себя, чтобы пользователь не влез в систему.

  Ответить  
 
 автор: sim5   (19.09.2008 в 12:55)   письмо автору
 
   для: prosaic   (19.09.2008 в 12:46)
 

А вы не боитесь, что я вам червя закину, если вы мне разрешите вводить исполнямый на странице скрипт? Для того, чтобы дать пользователю возможность вводить <b></b> существует ВВ-код.

  Ответить  

Сообщения:  [1-10]   [11-17] 

Форум разработан IT-студией SoftTime
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования