Должен ли я беспокоиться о форматированном тексте и параметризованных запросах? - PullRequest
Новая
       9

Должен ли я беспокоиться о форматированном тексте и параметризованных запросах?

0 голосов
/ 01 ноября 2010

Для этого конкретного проекта я буду использовать PHP 5.3 & MySQL с параметризованными запросами и CKE Editor .

Немного предыстории моей ситуации:

Пользователи сайта не взаимодействуют друг с другом.

Все пользователи имеют личные беседы только со мной (конфиденциальная информация), которые содержат richtext.

Я ограничил редактор CKE, чтобы ограничить пользователя базовым HTML, полужирным шрифтом, изображениями и другим форматированием.

Теперь две вещи:

1.) Мне все еще нужна какая-то форма проверки? Если пользователь пытается ввести html, php или любой другой код в расширенной текстовой форме, может ли это повлиять на мой сайт? Или он будет просто выведен в виде простого текста, когда он будет выведен из базы данных?

2.) Есть ли что-то еще, о чем я должен беспокоиться?

Я еще не начал проект, поэтому прошу подготовить его, когда доберусь до пользовательского ввода.

Что вы рекомендуете делать в моей ситуации?

1 Ответ

1 голос
/ 01 ноября 2010

1.) Мне все еще нужна какая-то форма проверки? Если пользователь пытается ввести HTML или PHP или любой другой код в форматированный текст, может ли он иметь возможное влияние на мой сайт? Или это будет просто выводится как простой текст один раз это эхо от базы данных?

Определенно, вы должны, есть несколько способов обойти эти пути, используя unicde, hex и другие форматы.

2.) Есть ли еще что-то, о чем я должен беспокоиться?

Вас должно беспокоить Межсайтовый скриптинг (XSS). Вам нужно использовать как минимум htmlentities функцию. 

echo htmlentities($text, ENT_QUOTES, "UTF-8");

Возможное решение:

Вы можете использовать Очиститель HTML :

HTML Purifier соответствует стандартам Библиотека HTML-фильтров написана на PHP. HTML Purifier не только удалит все вредоносный код (более известный как XSS ) с тщательной проверкой,
безопасный, но разрешающий белый список также убедитесь, что ваши документы соответствует стандартам, что-то только достижимо с всеобъемлющим знание спецификаций W3C.

Полезные ресурсы:

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...