Ich hoffe, jemand kann Rat oder Tipps geben, bevor dies geschlossen wird, weil ich gewarnt wurde, dass dies eine subjektive Frage ist.können Sie gehackt werden, indem Sie die HTML-Codes speichern, die von Texteditoren wie tinyMCE, QuillJS usw. erzeugt werden?
Ich habe mein eigenes PHP + SQL-Framework aus Slim und Eloquent und plane, ein Forum darin zu integrieren, und um es benutzerfreundlicher zu machen, plane ich, freie Texteditoren im Forumbook hinzuzufügen.
Anscheinend senden diese Texteditoren die HTML-Codes per POST, und mit diesen plane ich, sie in einer MySQL-Datenbank zu speichern. Und da es eloquent ist, verstehe ich, dass es bereits die vorbereitete Aussage verarbeitet, um eine Injektion zu vermeiden. Aber ich bin nicht sicher genug, ob das sicher genug ist, ich habe phpBB durchgesehen und sie haben bis heute keinen hübschen Texteditor (oder müssen noch für 3.2 entwickelt werden) und ich habe durchsucht, dass sie sich Sorgen um Sicherheit machen, und ich Nervös geworden, seit sie dort Veteran sind.
Können Sie über diese einfachen HTML-Codes injiziert werden? Welche anderen Angriffe können gegen mein System verwendet werden?
Danke!
Die meisten Rich-Text-Editoren sollten dies für Sie erledigen. aber Sie sollten die Dokumentation für den bestimmten, den Sie verwenden möchten, lesen –
@Dagon Umm, nicht wirklich. Selbst wenn sie das getan haben, * müssen * Sie die Eingabe-Server-Seite bereinigen. Das von Benutzern bereitgestellte HTML zu akzeptieren und zu bereinigen ist ein sehr schwieriges Geschäft. Viele Web-Apps tun dies nicht und verwenden stattdessen Abschriften. –
er sagte, dass hes bereits vorbereitete aussagen verwendet .. so ist es nicht an diesem punkt ein problem - naja die art wie ich die frage lese. –