WYSIWYG szerkesztők Mysql Injection és XSS védelme

karpati · 2009. Aug. 13. (Cs), 11.54

Sziasztok!

A következő problémám lenne:

Kaptunk egy megrendelést, ahol egy publikus oldalon WYSIWYG szerkesztőt kellene beépítenünk. Eddig mi kizárólag csak admin oldalon használtuk FCK-t és nem törődtünk se xss se injection-nel, mondván, hogy saját magának csak nem rontja el. Viszont publikus oldalon ezt nem tehetem meg, ezért fordulok hozzátok.

A kérdésem a következő lenne.

Muszáj a beküldött forrást php-vel végignéznem, hogy nincs-e benne rossz szándékú kód, vagy ezek a frameworkok már ezt kezelik?

Előre is köszönöm a segítséget.

■

HTML, CSS, JavaScript, Ajax

csirip

wysiwyg != framework, kliensoldal != szerveroldal

gex · 2009. Aug. 13. (Cs), 13.18

egyrészt a wysiwyg szerkesztők nem framework-ök, másrészt mivel ezek kliens-oldali js könyvtárak, ha van is benne bármilyen ellenőrzés, szerver oldalon mindenképpen ellenőrizni kell. elég ha a letiltott js-re gondolsz.

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Köszönöm a helyreigazítást!

karpati · 2009. Aug. 13. (Cs), 15.22

Tényleg nem framework és tényleg nem gondoltam a diszkrét JavaScriptre.
Gyorsabban jár a kezem, mint az eszem. :-(
Tehát tud valaki olyan php osztályt, amely szerver oldalon validál?

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Én tudok.

Poetro · 2009. Aug. 13. (Cs), 16.56

Én tudok.

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Publikus

karpati · 2009. Aug. 13. (Cs), 17.06

Publikus?

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Aki keres, az talál.

Poetro · 2009. Aug. 13. (Cs), 17.13

Aki keres, az talál.
Például Drupalban van erre használatos függvény együttes:
filter_xss
drupal_validate_utf8
_filter_xss_split

A hozzászóláshoz regisztráció és belépés szükséges
új téma

HTML Purifier

drifter · 2009. Aug. 14. (P), 11.19

Vagy egy általánosabb HTML tisztogató PHP könyvtár:

HTML Purifier

A hozzászóláshoz regisztráció és belépés szükséges
új téma

htmLawed

Poetro · 2009. Aug. 14. (P), 11.39

Aminek a nagy ellenfele a htmLawed, és mindkettő azt állítja, hogy jobb a másiknál ;). Döntsön a fejlesztő.

UI: Egy összehasonlítás a hasonló eszközökről, nem tudom mennyire objektív.

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Köszönöm a linkeket!

karpati · 2009. Aug. 14. (P), 17.27

Köszönöm a linkeket!

A hozzászóláshoz regisztráció és belépés szükséges
új téma

Friss blogmarkok

Web Akadálymentesítési Útmutató (WCAG) 2.1 – nyilvános munkaterv – Megjelent a WCAG (Web Akadálymentesítési Útmutató) 2.1 nyilvános munkaterv (0)
MongoDB Apocalypse Is Here as Ransom Attacks Hit 10,000 Servers – Több tízezer védtelen MongoDB szerverre csaptak le hackerek (2)
12 Signs You’re Working in a Feature Factory – A cél nélküli funkciógyártás néhány tünete (0)
Translatable, custom dates in Twig templates of Drupal 8 – Saját dátumok megjelenítése, fordíthatóan a Drupal 8 smink rétegével dolgozva (0)
NativeScript – Cross-Platform Native Development with Javascript – Fejlesszünk natív mobilalkalmazást JavaScripttel (0)
GitHub Security Update: Reused password attack – Érdemes bekapcsolni a kétfaktoros azonosítást, ha a GitHub jelszavunkat más oldalakon is újra felhasználtuk (17)
UX Design könyv – Hogyan tervezz felhasználóbarát és szerethető alkalmazásokat? (0)
Introducing unlimited private repositories – Megváltozik a GitHub díjszabása: minden előfizetéshez korlátlan számú privát repository jár (0)
Drupal 8 Twig: add custom CSS classes to menus (based on menu name) – Saját elképzeléseink szerinti CSS osztályok (automatizált) hozzáadása a Drupal 8 menüihez (0)

tovább»

november 2024
H	K	Sze	Cs	P	Szo	V
28	29	30	31	1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	1

november 2024

Sze

Szo

Weblabor

Keresés