ابر سیاه
7 سال پیش توسط ابر سیاه مطرح شد
4 پاسخ

فیلد html

سلام دوستان گرامی
وقتی از ادیتور متن html دریافت می کنم و در دیتابیس ذخیره کرده و آن را به نمایش مستقیم html در می آورم امنیتش پایین است و امکان دارد هک شود به نظز شما راه حل چیست ؟

باتشکر


ثبت پرسش جدید
حسام موسوی
تخصص : طراح و برنامه نویس
@hesammousavi 7 سال پیش مطرح شد
0

سلام این مهمه که این html رو از کی دریافت میکنید
اگر خودتون از بخش پنل مدیریت اینکارو میکنید خوب یا جای میشه مطمئن بود اما اصلاش اینکه این html کدینگش تغییر کنه
با html هم نمیشه یه سیستم رو هک کرد
همینطوری الکی هم نیست


ابر سیاه
@abresiahjj 7 سال پیش مطرح شد
0

از کاربرا است نه از من


ابوالفضل ویسی
تخصص : برنامه نویس بک اند و فرانت اند
@vaysi 7 سال پیش مطرح شد
0

با html نمیشه سیستم رو هک کرد . با جاوا اسکریپت هم نمیشه سیستم رو هک کرد میشه کوکی های کاربر رو دستکاری کرد اگه امنیت اطلاعات پایین باشه کوکی ها رو دزدید .
میتونی فیلتری بزاری که تگ script رو قبول نکنه .
همینطور میتونی مطلب رو که از کاربر دریافت میکنی مستقیما در سایت نمایش ندی . بعد از تایید نمایش بدی .


Farshidpg
@Farshidrezaiyan 7 سال پیش مطرح شد
0

شما در مرحله اول باید XSS رو روی درخواست ها و سایتت ببندی
مورد دوم محتویات ادیتور رو قبل . از اینکه مستقیم داخل دیتابیس ذخیره کنی از تابع htmlspecialchars() استفاده کن که کد html به صورت کد شده وارد دیتابیس بشه برای مثال :‌

htmlspecialchars($request['blog_text'])

و موقع نمایش به باید فیلد گرفته شده از دیتابیس رو باد دیکد کنی

با تابع htmlspecialchars_decode()


برای ارسال پاسخ لازم است وارد شده یا ثبت‌نام کنید

ورود یا ثبت‌نام