Я надеюсь, что кто-то может дать совет или советы, прежде чем это закрывается, потому что меня предупреждают, что это субъективный вопрос.можно взломать, сохранив коды HTML, созданные текстовыми редакторами, такими как tinyMCE, QuillJS и т. Д.?
У меня есть собственная инфраструктура PHP + SQL, сделанная из Slim и Eloquent, и планируем интегрировать в нее форум, а чтобы сделать его более удобным для пользователя, я планирую добавлять бесплатные текстовые редакторы при публикации форума.
Очевидно, эти текстовые редакторы отправляют HTML-коды через POST, и я планирую их сохранить в базе данных MySQL. И поскольку его красноречивый, я вполне понимаю, что он уже обрабатывает подготовленное заявление, чтобы избежать инъекции. Но я не уверен, что если это достаточно безопасно, я просматривал phpBB, и до сегодняшнего дня у них нет текстового редактора (или он еще не разработан для версии 3.2), и я просматривал, что они обеспокоены безопасностью, и я больше нервничал, так как они там ветераны.
Можете ли вы вводить эти простые HTML-коды? Какие другие атаки могут использоваться против моей системы?
Спасибо!
самые богатые текстовые редакторы должны позаботиться об этом для вас. но вы должны прочитать документацию для конкретной, которую вы планируете использовать –
@ Дагон Умм, не совсем. Даже если бы они это сделали, вам нужно * дезинформировать входную серверную сторону. Принятие и дезинфекция поставляемого пользователями HTML - это очень сложный бизнес. Многие веб-приложения не используют и используют такие вещи, как markdown. –
он сказал, что г-н уже использовал подготовленные заявления .. поэтому его не в этот момент его проблема - ну, как я прочитал вопрос. –