[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Безопасность js
Форум PHP программистов > PHP для знатоков
johniek_comp
1.05.2012 - 14:06
Сделал простенький визуальные редактор на js, и что бы в скриптах не писать 100500 mysql_real_escape_string() обрабатываю данные прямо при вводе, т.е. пишешь что-то в редакторе а код на лету генерируется примерно вот такой:
<script>alert('hack');</script>
превращается в
&lt;script&gt;alert('hack');&lt;/script&gt;&nbsp;

и бросается в базу.

Насколько безопасный этот подход?

и еще textarea всегда пуст, нужно редактор переключать в режим кода при таком подходе:
$("#submit").click(function(){
		var title      =    $("#title").val();
		var text       =    $("#text").val();
		if(title == "" || text == "")
		{
			alert("Не все заполнено");
			return false;
		}
	});

че, как быть? :rolleyes: :D



Спустя 9 минут, 28 секунд (1.05.2012 - 12:15) Invis1ble написал(а):
А причем здесь угловые скобки к спецсимволам mysql ?
Ну и главный вопрос: безопасный для чего?

Спустя 35 минут, 42 секунды (1.05.2012 - 12:51) sergeiss написал(а):
Цитата (johniek_comp @ 1.05.2012 - 14:06)
Насколько безопасный этот подход?

В любом случае код должен быть проверен на стороне сервера, т.е. в ПХП. Это один из основополагающих принципов безопасности интернет-приложений.

Спустя 33 минуты, 30 секунд (1.05.2012 - 13:25) johniek_comp написал(а):
На скрипт приходит 2147 данных, не обращений, а POST полей(данных) разных...обработать через js один раз все это и не парится, вот что хочу. Нет ли подвоха?

Цитата
А причем здесь угловые скобки к спецсимволам mysql ?


инъекция не пройдет по умолчанию, а вот скрипты нужно остановить именно ДО входа в БД, так что htmlspecailchars можно не предлагать

Спустя 12 минут, 55 секунд (1.05.2012 - 13:37) Invis1ble написал(а):
Цитата
инъекция не пройдет по умолчанию

судя по этому
Цитата
&lt;script&gt;alert('hack');&lt;/script&gt;&nbsp;

пройдет

и sergeiss правильно заметил, защита на стороне клиента - не защита

Спустя 12 минут, 50 секунд (1.05.2012 - 13:50) johniek_comp написал(а):
Цитата
защита на стороне клиента - не защита

подытожил, мне это и надо было услышать smile.gif а инъекция не пройдет, потому что это asp.net smile.gif

Спустя 31 минута, 2 секунды (1.05.2012 - 14:21) vagrand написал(а):
Цитата
а инъекция не пройдет, потому что это asp.net


А при чем тут APS? Ты же проверяешь на иньекцию в БД а каков серверный язык это не имеет никакого значения. Будь он хоть JSP или Perl.


_____________
user posted image
Быстрый ответ:
Powered by dgreen

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2024 Invision Power Services, Inc.