ugrás a tartalomhoz

WYSIWYG szerkesztők Mysql Injection és XSS védelme

karpati · 2009. Aug. 13. (Cs), 11.54
Sziasztok!

A következő problémám lenne:

Kaptunk egy megrendelést, ahol egy publikus oldalon WYSIWYG szerkesztőt kellene beépítenünk. Eddig mi kizárólag csak admin oldalon használtuk FCK-t és nem törődtünk se xss se injection-nel, mondván, hogy saját magának csak nem rontja el. Viszont publikus oldalon ezt nem tehetem meg, ezért fordulok hozzátok.

A kérdésem a következő lenne.

Muszáj a beküldött forrást php-vel végignéznem, hogy nincs-e benne rossz szándékú kód, vagy ezek a frameworkok már ezt kezelik?

Előre is köszönöm a segítséget.
‹ Sok beviteli mező ellenőrzése javascriptben JQuery radio button ›
 
1

wysiwyg != framework, kliensoldal != szerveroldal

gex · 2009. Aug. 13. (Cs), 13.18
egyrészt a wysiwyg szerkesztők nem framework-ök, másrészt mivel ezek kliens-oldali js könyvtárak, ha van is benne bármilyen ellenőrzés, szerver oldalon mindenképpen ellenőrizni kell. elég ha a letiltott js-re gondolsz.
2

Köszönöm a helyreigazítást!

karpati · 2009. Aug. 13. (Cs), 15.22
Tényleg nem framework és tényleg nem gondoltam a diszkrét JavaScriptre.
Gyorsabban jár a kezem, mint az eszem. :-(
Tehát tud valaki olyan php osztályt, amely szerver oldalon validál?
3

Én tudok.

Poetro · 2009. Aug. 13. (Cs), 16.56
Én tudok.
4

Publikus

karpati · 2009. Aug. 13. (Cs), 17.06
Publikus?
5

Aki keres, az talál.

Poetro · 2009. Aug. 13. (Cs), 17.13
Aki keres, az talál.
Például Drupalban van erre használatos függvény együttes:
filter_xss
drupal_validate_utf8
_filter_xss_split
6

HTML Purifier

drifter · 2009. Aug. 14. (P), 11.19
Vagy egy általánosabb HTML tisztogató PHP könyvtár:

HTML Purifier
7

htmLawed

Poetro · 2009. Aug. 14. (P), 11.39
Aminek a nagy ellenfele a htmLawed, és mindkettő azt állítja, hogy jobb a másiknál ;). Döntsön a fejlesztő.

UI: Egy összehasonlítás a hasonló eszközökről, nem tudom mennyire objektív.
8

Köszönöm a linkeket!

karpati · 2009. Aug. 14. (P), 17.27
Köszönöm a linkeket!