Jump to content
  • 0

TinyMCE и SQL Injection


Sarabanda
 Share

Question

Всем привет! У меня вопрос такого характера.

Есть TinyMCE редактор, который создает текст включая ХТМЛ теги.

Ну и потом мы этот текст напичканый тегами передаем в форму.

На сколько мне изестно про SQL Injection, а известно очень мало, -- нежелательно передавать

теги в базу с открытой страницы.

Скажите, действительно ли это уезвимое место ?

Спасибо!

Link to comment
Share on other sites

5 answers to this question

Recommended Posts

  • 0
А проблема в чём? Весь текст через scape_string прогонять и можно хранить любые тэги. Можно ещё htmlspecialchars делать, а при выводе - обратно

Я так понял что тут это делу не поможет.

Сам когда прикручивал этот редактор в админку, у всех полей формы стояли всякие защиты от всяких там слешей, тегов и т.д..., а когда тини привязал к форме, то естественно ни о каких тегах и речи быть не могло, так как защита резала их, пришлось убрать.

Но тут следует понимать одну простую вещь, ведь форма находится в админке, и конечно же туда уже доступ закрыт, так что бояться нечего.

Link to comment
Share on other sites

  • 0

SQL-инъекции тут не при чём, если вопрос именно в тегах. Тут, скорее, больше проблема XSS. Для этого стоит убирать «ненужные» теги типа <script> из поля и всё. Это раз. Второе это то, что реально тайни и процие факедиторы скорее годятся только для применения в админке сайта. Если надо сделать пользовательский редактор (то есть доступный для анонимусов), то, я думаю, стоит его делать на бб-кодах (можно его и визуальным сделать, стоит только немного потрудиться), которые потом будут преращаться в HTML теги, а «настоящие» теги попросту надо отсекать. Соль в том, что надо ограничивать не «сверху», а «снизу», то есть не запрещать какие-то конкретные вещи из всего возможного, а запретить всё, разрешив только то, что реально нужно.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. See more about our Guidelines and Privacy Policy