description

فیلد html

- 6 ماه پیش
توسط Farshidpg آپدیت شد
ابر سیاه ( 1299 تجربه )
6 ماه پیش

سلام دوستان گرامی
وقتی از ادیتور متن html دریافت می کنم و در دیتابیس ذخیره کرده و آن را به نمایش مستقیم html در می آورم امنیتش پایین است و امکان دارد هک شود به نظز شما راه حل چیست ؟

باتشکر

حسام موسوی ( 69446 تجربه )
6 ماه پیش

سلام این مهمه که این html رو از کی دریافت میکنید
اگر خودتون از بخش پنل مدیریت اینکارو میکنید خوب یا جای میشه مطمئن بود اما اصلاش اینکه این html کدینگش تغییر کنه
با html هم نمیشه یه سیستم رو هک کرد
همینطوری الکی هم نیست

ابر سیاه ( 1299 تجربه )
6 ماه پیش

از کاربرا است نه از من

ابوالفضل ویسی ( 720 تجربه )
6 ماه پیش

با html نمیشه سیستم رو هک کرد . با جاوا اسکریپت هم نمیشه سیستم رو هک کرد میشه کوکی های کاربر رو دستکاری کرد اگه امنیت اطلاعات پایین باشه کوکی ها رو دزدید .
میتونی فیلتری بزاری که تگ script رو قبول نکنه .
همینطور میتونی مطلب رو که از کاربر دریافت میکنی مستقیما در سایت نمایش ندی . بعد از تایید نمایش بدی .

Farshidpg ( 1062 تجربه )
6 ماه پیش

شما در مرحله اول باید XSS رو روی درخواست ها و سایتت ببندی
مورد دوم محتویات ادیتور رو قبل . از اینکه مستقیم داخل دیتابیس ذخیره کنی از تابع htmlspecialchars() استفاده کن که کد html به صورت کد شده وارد دیتابیس بشه برای مثال :‌

htmlspecialchars($request['blog_text'])

و موقع نمایش به باید فیلد گرفته شده از دیتابیس رو باد دیکد کنی

با تابع htmlspecialchars_decode()

برای ارسال پاسخ باید وارد سایت شوید