Как защитить его правильно от sql-injection и xss?
Спустя 6 минут, 2 секунды (13.12.2010 - 10:51) Белый Тигр написал(а):
Защита таких редакторов уже описывалась где-то в этом форуме. Методика простая - оставляем пользователям только простейшие теги, типа b, em, strong и т.д., запрещая использовать свойства.
Спустя 2 минуты, 30 секунд (13.12.2010 - 10:53) DySprozin написал(а):
phpsc
а разве wysiwyg nicedit пишет что-то в БД?
а разве wysiwyg nicedit пишет что-то в БД?
Спустя 30 минут, 8 секунд (13.12.2010 - 11:23) phpsc написал(а):
| Цитата (DySprozin @ 13.12.2010 - 07:53) |
| phpsc а разве wysiwyg nicedit пишет что-то в БД? |
У меня nic edit пишет в БД.
Как быть если блог на it тематику. И через wysiwyg редактор добавляется запись в которой рассказывается и приводится кусок php/html/c++ кода?
Спустя 2 минуты, 44 секунды (13.12.2010 - 11:26) Белый Тигр написал(а):
Скорее всего речь идёт о сохранении вводимых данных. Там элементарное экранирование да и всё.
Спустя 1 минута, 5 секунд (13.12.2010 - 11:27) Белый Тигр написал(а):
| Цитата |
| Как быть если... |
Не мучаться, сделать всё оформление bb-кодами и пользоваться скриптами подсветки типа highlighter.js
Спустя 1 час, 56 минут, 28 секунд (13.12.2010 - 13:24) phpsc написал(а):
А смысл с bb-кодов?
если вместе с ними будет добавляемый в ITблог новости php/html/c++ код?
если вместе с ними будет добавляемый в ITблог новости php/html/c++ код?
Спустя 3 часа, 36 минут, 41 секунда (13.12.2010 - 17:00) Slays написал(а):
и ? где ты тут нашел противоречия ?
на этом форуме тоже выкладывается код, просто при выводе из базы все спецсимволы заменяются на их html-эквиваленты, код выглядит как код, а исполняться не будет. Зато чтоб выделить текст жирным, мы определяем bb-код, типо [ b ]текст[ /b ], этот код никак навредить не сможет, зато мы понимает для чего он нужен и интерпретируем после вывода, что [ b ]текс[ /b ] = <b>текст</b>.
Т.е. мы запрещаем все, а потом разрешаем только то, что нужно.
на этом форуме тоже выкладывается код, просто при выводе из базы все спецсимволы заменяются на их html-эквиваленты, код выглядит как код, а исполняться не будет. Зато чтоб выделить текст жирным, мы определяем bb-код, типо [ b ]текст[ /b ], этот код никак навредить не сможет, зато мы понимает для чего он нужен и интерпретируем после вывода, что [ b ]текс[ /b ] = <b>текст</b>.
Т.е. мы запрещаем все, а потом разрешаем только то, что нужно.
Спустя 1 час, 6 минут, 37 секунд (13.12.2010 - 18:07) phpsc написал(а):
1.
| Цитата (Slays @ 13.12.2010 - 14:00) |
| и ? где ты тут нашел противоречия ? на этом форуме тоже выкладывается код, просто при выводе из базы все спецсимволы заменяются на их html-эквиваленты, код выглядит как код, а исполняться не будет. Зато чтоб выделить текст жирным, мы определяем bb-код, типо [ b ]текст[ /b ], этот код никак навредить не сможет, зато мы понимает для чего он нужен и интерпретируем после вывода, что [ b ]текс[ /b ] = <b>текст</b>. Т.е. мы запрещаем все, а потом разрешаем только то, что нужно. |
я не могу понять.
имеем строку
| Цитата |
| [_b]жирный текст введенный пользователь[/_b]html код статьи |
html код тоже преобразовываетсяпри записи в БД в bb коды?
2.Где мне взять список всех спец.символов?
2.Где мне взять список всех спец.символов?
Спустя 53 минуты, 57 секунд (13.12.2010 - 19:01) Slays написал(а):
в базу можешь записывать все как есть, но при выводе прогоняешь весь текст через htmlspecialchars(), спецсимволы сами заменятся. На странице ты будешь видеть код, но открыв "исходный код страницы" в браузере, увидишь что поменялось. Если выводить html-код без htmlspecialchars(), вместо отображения он тут же встроится в твою страницу.
html ни в какой бб тег заключать не надо, только лишь если для особого оформления.
html ни в какой бб тег заключать не надо, только лишь если для особого оформления.
Спустя 9 часов, 24 минуты, 39 секунд (14.12.2010 - 04:25) phpsc написал(а):
| Цитата |
| в базу можешь записывать все как есть, но при выводе прогоняешь весь текст через htmlspecialchars(), спецсимволы сами заменятся. На странице ты будешь видеть код, но открыв "исходный код страницы" в браузере, увидишь что поменялось. Если выводить html-код без htmlspecialchars(), вместо отображения он тут же встроится в твою страницу. html ни в какой бб тег заключать не надо, только лишь если для особого оформления. |
Защита от xss. Спасибо.
Как защититться от sql-injection если вставляются bb-коды+html-javascript-код статьи?
Как защититться от sql-injection если вставляются bb-коды+html-javascript-код статьи?
Спустя 20 минут, 31 секунда (14.12.2010 - 04:46) inpost написал(а):
irbis-team.com - там бб-декодер.
Так же в конкурсах есть работы по бб-декодеру.
Там найдешь достаточно много полезной информации, может даже перехочешь пользоваться левыми редакторами и свой сделаешь! Я обычный редактор сделал за день для своих сайтов.
Так же в конкурсах есть работы по бб-декодеру.
Там найдешь достаточно много полезной информации, может даже перехочешь пользоваться левыми редакторами и свой сделаешь! Я обычный редактор сделал за день для своих сайтов.