Модераторы: skyboy, MoLeX, Aliance, ksnk
  

Поиск:

Ответ в темуСоздание новой темы Создание опроса
> wysiwyg. Защита от sql-иньекции и xss ? 
:(
    Опции темы
phpsc
Дата 7.12.2010, 22:11 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Бывалый
*


Профиль
Группа: Участник
Сообщений: 234
Регистрация: 22.11.2010

Репутация: нет
Всего: 0
В БД есть поле в которое через wysiwyg попадает полноценный html код.
Соединение идет через utf8.

Как сделать чтобы не были возможными sql-иньекции и xss (с xss более все ясно : запретить слова javascript, script, execscript).

Пожалуйста отпишитесь.
Сайт очень серьезный. Проблем не должно быть.
--------------------
Социальная сеть
PM MAIL   Вверх
bars80080
Дата 8.12.2010, 00:07 (ссылка) | (голосов:1) Загрузка ... Загрузка ... Быстрая цитата Цитата


прапор творюет
****
Награды: 1



Профиль
Группа: Завсегдатай
Сообщений: 12022
Регистрация: 5.12.2007
Где: Königsberg

Репутация: 71
Всего: 315
Цитата(phpsc @  7.12.2010,  21:11 Найти цитируемый пост)
Как сделать чтобы не были возможными sql-иньекции

mysql_real_escape_string() при вставке в базу, если БД конечно mysql


Цитата(phpsc @  7.12.2010,  21:11 Найти цитируемый пост)
xss (с xss более все ясно : запретить слова javascript, script, execscript).

тут больше подойдёт выражение - прогнать через обрабатывающую функцию, которая порежет все тэги <script>, а также ссылки с не стандартной формой урла http://... и любые вставленные обработчики (атрибуты on... в тэгах)

наверное, стоит такую поискать в cmsках, использующие визивиг-редакторы
PM MAIL WWW   Вверх
Shogun
Дата 8.12.2010, 01:50 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


сёгун-сан
**


Профиль
Группа: Участник
Сообщений: 290
Регистрация: 8.6.2006
Где: Кишинёв

Репутация: 9
Всего: 11
http://htmlpurifier.org/


--------------------
2b || !2b
PM MAIL ICQ Skype   Вверх
Clickbeetle
Дата 17.3.2011, 10:50 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Новичок



Профиль
Группа: Участник
Сообщений: 9
Регистрация: 15.3.2011

Репутация: нет
Всего: нет
Можно написать функцию на основе регулярных выражений, которая будет вырезать все теги, кроме разрешенных, ну и как уже написали mysql_real_escape_string()  в помошь, хотя я бы предпочел более новую функцию: mysqli_real_escape_string
PM MAIL   Вверх
  
 Ответ в темуСоздание новой темы Создание опроса
Правила форума "PHP"
Aliance
IZ@TOP
skyboy
SamDark
MoLeX

Новичкам:

  • PHP редакторы собираются и обсуждаются здесь
  • Электронные книги по PHP, документацию можно найти здесь
  • Интерпретатор PHP, полную документацию можно скачать на PHP.NET

Важно:

  • Не брезгуйте пользоваться тегами [code=php]КОД[/code] для повышения читабельности текста/кода.
  • Перед созданием новой темы воспользуйтесь поиском и загляните в FAQ
  • Действия модераторов можно обсудить здесь

Внимание:

  • Темы "ищу скрипт", "подскажите скрипт" и т.п. будут переноситься в форум "Web-технологии"
  • Темы с именами: "Срочно", "помогите", "не знаю как делать" будут УДАЛЯТЬСЯ

Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, IZ@TOP, skyboy, SamDark, MoLeX, awers.
 
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | PHP: Общие вопросы | Следующая тема »

Подписаться на тему | Подписка на этот форум | Скачать/Распечатать тему


 




[ Время генерации скрипта: 0.0742 ]   [ Использовано запросов: 21 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
 По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.