我希望有人能在这个关闭之前提供建议或提示,因为我被告知这是一个主观问题。你可以通过保存由tinyMCE,QuillJS等文本编辑器生成的HTML代码来入侵吗?
我有我自己的PHP + SQL框架做出了苗条和雄辩,并计划在其中集成一个论坛,并使其更加用户友好,我打算在论坛发布添加免费文本编辑器。
显然,这些文本编辑器通过POST发送HTML代码,并且我计划将它们保存在MySQL数据库中。而且由于其雄辩,我很理解它已经处理了准备好的声明以避免注入。但是我不确定是否足够安全,我浏览phpBB,直到今天还没有任何漂亮的文本编辑器(或者尚未开发为3.2版本),并且我浏览了他们对安全性的担忧,而我因为他们是老手,所以更加紧张。
你能通过这些简单的HTML代码注入吗?还有哪些其他攻击可以用于我的系统?
谢谢!
大多数富文本编辑器应该为您处理这个问题。但你应该阅读你打算使用的特定文档 – 2016-04-30 03:19:52
@Dagon Umm,不是真的。即使他们这样做,您也需要*来清理输入服务器端。接受和消毒用户提供的HTML是非常棘手的业务。许多网络应用程序不这样做,而是使用诸如减价之类的东西。 –
他说他已经使用了准备好的陈述..所以它不是在这一点上它的问题 - 以及我读这个问题的方式。 – 2016-04-30 03:39:11