私はこれが主観的な質問であると警告されたので、誰かがアドバイスやヒントを提供することができます。tinyMCE、QuillJSなどのテキストエディタで生成されたHTMLコードを保存して、ハッキングすることはできますか?
SlimとEloquentで独自のPHP + SQLフレームワークを作成し、フォーラムを統合してより使いやすくするため、フォーラムの投稿にフリーテキストエディタを追加する予定です。
明らかに、これらのテキストエディタはPOSTを介してHTMLコードを送信し、これらを使用してMySQLデータベースに保存する予定です。そして、その雄弁なことから、注射を避けるために既に準備された声明を処理していることはかなり理解しています。しかし、私がphpBBをブラウズしていて、今日までテキストエディタを持っていない(またはまだ3.2のために開発されていない)と私は彼らがセキュリティに懸念していると尋ねました。彼らはそこに退役軍人であるので、より神経質になった。
これらの簡単なHTMLコードで注入することはできますか?私のシステムには他にどんな攻撃がありますか?
ありがとうございます!
ほとんどのリッチテキストエディタがこれを担当します。しかしあなたはあなたが使用しようとしている特定のもののドキュメントを読むべきです。 –
@Dagon Umm、そうではありません。たとえそれがあったとしても、入力側のサーバサイドをサニタイズする必要があります。ユーザーが提供するHTMLを受け入れて消毒することは、非常にトリッキーなビジネスです。多くのウェブアプリはそうではなく、代わりにマークダウンのようなものを使います。 –
彼はすでに準備文を使っていると言っています。その時点では問題はありません。 –