我在我的网上商店使用在线照片编辑器。用户可以使用svg-edit编辑照片并保存更改。用户结果存储为SVG源代码(...)。我必须通过PHP表单发送SVG源代码,将其保存在数据库中并显示在管理面板中。通过PHP表单的SVG源代码
我怕在我的网上商店发生任何打针或攻击。有没有可能使其安全?
我无法为SVG源代码生成私有哈希,因为它是客户端,我可以通过AJAX创建任何请求。
@EDIT
实施例:用户保存...代码和代码正在通过POST发送。在PHP脚本中,我可以访问$ svg = $ _POST ['svg_source'];我很担心这个POST值会导致注入。攻击者可能会注入任何HTML,JS,其他源代码。
@EDIT:
然后在DB我可以存储$ _ POST价值......并查看它在PA。但是,攻击者可以写一些...代码,它会在PA,我查看SVG图像(基于SVG代码)执行
@EDIT:
我需要一些解决方案来检查SVG码是有效的并且不包含任何JS,HTML代码。或者 - 我需要一些解决方案来安全地查看网站上的SVG代码。
什么样的注射?的sql? CSS/HTML吗? SVG?如果你使用适当的防御性编程技术,你根本不应该担心注入攻击。 –
示例:用户保存代码并且该代码正通过POST发送。在PHP脚本中,我可以访问$ svg = $ _POST ['svg_source'];我很担心这个POST值会导致注入。攻击者可能会注入任何HTML,JS,其他源代码。 –
和那有什么问题?任何用户通过表单提交的数据都会显示在_GET或_POST中... –