Как можно предохраниться.
Спустя 33 минуты, 51 секунда (10.11.2010 - 01:07) Sanchopansa написал(а):
ИМХО просто фильтровать опасные теги для текстов с фронт-энда сайта при внесении в БД
Спустя 6 часов, 37 минут, 47 секунд (10.11.2010 - 07:44) twin написал(а):
Из безопасных тегов есть только один - <noscript>
Очень плохая идея дать юзеру доступ к HTML.
Очень плохая идея дать юзеру доступ к HTML.
Спустя 53 минуты, 22 секунды (10.11.2010 - 08:38) fire написал(а):
Составь белый список разрешенных тегов, остальное фильтруй.
Спустя 9 минут, 1 секунда (10.11.2010 - 08:47) ApuktaChehov написал(а):
Надо фильтровать не только теги, но и их атрибуты.
Грубо говоря можно проверять, к примеру тег <b></b> таким образом, что бы в теле тега был только один символ - b. Тогда туда уже ничего не засунуть и т.д.
Грубо говоря можно проверять, к примеру тег <b></b> таким образом, что бы в теле тега был только один символ - b. Тогда туда уже ничего не засунуть и т.д.
Спустя 1 час, 38 минут, 21 секунда (10.11.2010 - 10:25) Slays написал(а):
twin
идея может и плохая, но этой плохой идей, я имею ввиду редактором tinyMCE, пользуются многие крупные компании, да и тысячи простых юзверей по всему миру =)
Не думаю что у всех все так плохо, дополнительно проверять все теги регулярками оптимизма не вселяет, но если иначе никак, то ничего уж не поделать, придется
идея может и плохая, но этой плохой идей, я имею ввиду редактором tinyMCE, пользуются многие крупные компании, да и тысячи простых юзверей по всему миру =)
Не думаю что у всех все так плохо, дополнительно проверять все теги регулярками оптимизма не вселяет, но если иначе никак, то ничего уж не поделать, придется
Спустя 7 минут, 43 секунды (10.11.2010 - 10:33) Семён написал(а):
| Цитата |
| Вырази ложную мысль ясно, и она сама себя опровергнет. |
Ты пытаешься дать ключи от своего авто, случайному прохожему, но при этом хочешь быть уверен, что он адекватный и вернёт твоё авто в полной сохранности.
Перефразирую, если ты даёшь доступ на создание / редактирование html контента пользователю, ты автоматом соглашаешься с тем, что он адекват и берёшь ответственность полностью на свой страх и риск. И рыбку съесть и на херок не сесть
Спустя 7 минут, 55 секунд (10.11.2010 - 10:41) Guest написал(а):
Slays
| Цитата |
| идея может и плохая, но этой плохой идей, я имею ввиду редактором tinyMCE, пользуются многие крупные компании, да и тысячи простых юзверей по всему миру =) |
ни кто не запрещает... пользуйся.
Только tinyMCE нифига не чистит. Да и не факт, что тебе с него чего-нить закинут.
Единственный разумный способ предложил fire
На сервере нужно разрешить то, что можно. Остальное запретить. Это не очень и не очень то простая задача на самом деле. Дерзай.
Только tinyMCE нифига не чистит. Да и не факт, что тебе с него чего-нить закинут.
Единственный разумный способ предложил fire
На сервере нужно разрешить то, что можно. Остальное запретить. Это не очень и не очень то простая задача на самом деле. Дерзай.
Спустя 7 минут, 30 секунд (10.11.2010 - 10:48) Slays написал(а):
Семён
естественно что тот кто имеет доступ к админке сам не будет туда ничего вредоносного вносить, какая-нибудь хрень может залезть в базу и без админки, проблема не в том, кому давать доступ, а в том, что использование редактора вынуждает выводить все содержимое из базы на сайт без обработки.
Guest
т.е. сообщество безусловно не глупых людей, разработчики крупных цмс, систем и самого редактора тупо надеются на авось ? Типо пользуемся пока ничо нам не закинули ?
естественно что тот кто имеет доступ к админке сам не будет туда ничего вредоносного вносить, какая-нибудь хрень может залезть в базу и без админки, проблема не в том, кому давать доступ, а в том, что использование редактора вынуждает выводить все содержимое из базы на сайт без обработки.
Guest
т.е. сообщество безусловно не глупых людей, разработчики крупных цмс, систем и самого редактора тупо надеются на авось ? Типо пользуемся пока ничо нам не закинули ?
Спустя 7 минут, 12 секунд (10.11.2010 - 10:55) Basili4 написал(а):
Лучший вариант запретить все а разрешать все что можно.
_____________
если помог, не скупись на карму =)