скачал yahoo rich text editor, довольно хорошая штука, теперь ломаю голову над тем как бы проверять вводимый текст на наличие всякой фигни которую могут туда послать продвинутые пользователи.
вначале пришла в голову мысль проверять вводимый текст что бы всех тегов было по парно и убирать <script></script>, но составить регулярное выражение так и не получилось
потом решил использовать htmlspecialchars, но возвращать текст в исходное положение тож как-то не выходит
если кто сталкивлся с такой проблемой, можете подсказать решение...
заранее спасибо
Спустя 2 минуты (30.08.2011 - 23:39) Winston написал(а):
Спустя 9 часов, 47 минут, 15 секунд (31.08.2011 - 09:27) John Cena написал(а):
нет, вы не поняли, yahoo rich text editor - это текстовый редактор, если я пишу в нем "Привет" и ставлю размер шрифта 15px, то он вернет мне <span style="font-size:15px;">Привет</span>, а если я потом пропущу эту строку через strip_tags() то останется только "Привет". так я и сам как бы об этом знаю...
Спустя 1 час, 23 минуты, 34 секунды (31.08.2011 - 10:50) bodja написал(а):
Да чего то неясно что вы хотите предоставить пользователю.
Чаще всего для пользователя отставляют ВВ-коды.
Если так переживаете за <script> ,а оставите хтмл теги,ну так юзер может так ломануть вам
верстку страницы,что вы офигеете.
Чаще всего для пользователя отставляют ВВ-коды.
Если так переживаете за <script> ,а оставите хтмл теги,ну так юзер может так ломануть вам
верстку страницы,что вы офигеете.
Спустя 4 часа, 55 минут, 48 секунд (31.08.2011 - 15:46) John Cena написал(а):
ну вот, я это и имею ввиду, что бы небыло вот такого
каким образом можно этого избежать?
<div><span><p>Hello</div></span>
каким образом можно этого избежать?
Спустя 36 минут, 40 секунд (31.08.2011 - 16:23) killer8080 написал(а):
Отлавливать <script> ндостаточно XSS можно провести и так
или так
и т.д. поэтому нужно использовать bb коды.
<a href="javascript:alert('hacked XSS')">link</a>
или так
<a href="#" onmouseover="alert('hacked');">link</a>
и т.д. поэтому нужно использовать bb коды.