برگزیده های پرشین تولز

ادیتور html و امنیت سایت!

hossein_asp

کاربر تازه وارد
تاریخ عضویت
31 مارس 2005
نوشته‌ها
639
لایک‌ها
0
سن
39
محل سکونت
جایی که خدا نباشد
یه سوال برام پیش اومده در مورد استفاده از ادیتور Html برای ارسال مطالب کاربران در سایت این کارخطرناک نیست؟ چون یوزرها میتونن کد جاوا اسکرپیت هم به سایت ارسال کنن این مشکلو میشه حل کرد؟من به نظرم رسیده که با strip_tag جاوا اسکرپیتو رو حذف کنیم(البته حذف تگ جاوا اسکریپت برای ارسال پاسخ ها درد سر میشه برای کاربران مثلا بخش جاوا اسکرپیت) اما یک سوال مهمتر آیا این مشکل هک رو کامل رفع میکنه یا تگ های خطرناکی هم تو html وجود داره یا اصلا نگرانی من بی مورده؟
در کل بیام با هزار گرفتاری این کد های BB رو پیاد سازی کنم :wacko:یا همون ادیتور HTML رو بگذاریم.
 

balabala

کاربر قدیمی پرشین تولز
کاربر قدیمی پرشین تولز
تاریخ عضویت
22 می 2005
نوشته‌ها
8,362
لایک‌ها
5,745
سن
41
محل سکونت
یه خورده اونورتر
معمولا html editorهای معروف فکر اینها رو کردن. اجازه نوشتن جاوا نمیدن یا اگر بدن کدش میکنن.
 

hossein_asp

کاربر تازه وارد
تاریخ عضویت
31 مارس 2005
نوشته‌ها
639
لایک‌ها
0
سن
39
محل سکونت
جایی که خدا نباشد

علیک سلام برادر من اگه از این استفاده کنم که اونوقت html ادیتور میخوام چیکار.

معمولا html editorهای معروف فکر اینها رو کردن. اجازه نوشتن جاوا نمیدن یا اگر بدن کدش میکنن.

اینایی که من دیدم تاحالا زیاد فکر نکرده بودن مثل اینکه!! ادیتور نوشتن کاری نداره که یه iframe یه صفحه دیفالت لود توش سپس همش کامند هست خیلی ساده است.
 

Shahed

کاربر قدیمی پرشین تولز
تاریخ عضویت
30 ژوئن 2003
نوشته‌ها
7,270
لایک‌ها
34
محل سکونت
mt.cgi
اگه منظورت sql injection هست که همون htmlspecialchars و یا addslashes چاره کار هست !!

منظورت رو هم از جاوا نفهمیدم !! خوب وقتی ادیتور html میزاری دیگه همه چی میشه توش نوشت !! کنترلی رو جنس تگها هم به اون راحتی نمیشه داشت.
در این مورد تنها راه استفاده از bbcode هست.
 

hossein_asp

کاربر تازه وارد
تاریخ عضویت
31 مارس 2005
نوشته‌ها
639
لایک‌ها
0
سن
39
محل سکونت
جایی که خدا نباشد
اگه منظورت sql injection هست که همون htmlspecialchars و یا addslashes چاره کار هست !!

منظورت رو هم از جاوا نفهمیدم !! خوب وقتی ادیتور html میزاری دیگه همه چی میشه توش نوشت !! کنترلی رو جنس تگها هم به اون راحتی نمیشه داشت.
در این مورد تنها راه استفاده از bbcode هست.


برا sql injection که موقع ارسال داده به db چک میکنم مشکلی تو اون نیست.منظورم اینه مثلا کاربر بیاد یه کد جاوا اسکریپت بفرسته تو صفحه هی رفش کنه یا اصلا تگ html بزاره برا این کار یا ...الان کلوب با این همه ادعاش داره از ادیتور Html استفاده میکنه .
ادیتوری هست کد bb رو ساپورت کنه؟
 

Shahed

کاربر قدیمی پرشین تولز
تاریخ عضویت
30 ژوئن 2003
نوشته‌ها
7,270
لایک‌ها
34
محل سکونت
mt.cgi
برا sql injection که موقع ارسال داده به db چک میکنم مشکلی تو اون نیست.منظورم اینه مثلا کاربر بیاد یه کد جاوا اسکریپت بفرسته تو صفحه هی رفش کنه یا اصلا تگ html بزاره برا این کار یا ...الان کلوب با این همه ادعاش داره از ادیتور Html استفاده میکنه .
ادیتوری هست کد bb رو ساپورت کنه؟
راهی بجز همون bbcode نمیشناسم.
tinymce.
 

hossein_asp

کاربر تازه وارد
تاریخ عضویت
31 مارس 2005
نوشته‌ها
639
لایک‌ها
0
سن
39
محل سکونت
جایی که خدا نباشد
راهی بجز همون bbcode نمیشناسم.
tinymce.
آره راه کاملا مشخصه ساخت ادیتور bb هم زیاد سخت نیست با جاو اسکریپت راحته اما امان از وقتی که پیادش کنی باید با عبارت منظم باشه و این مساوی است با کلی درد سر که خودت می دونی.خودش یه پروژه اساسی میشه.
 

miladmovie

مدیر بازنشسته
کاربر فعال
تاریخ عضویت
25 دسامبر 2002
نوشته‌ها
1,939
لایک‌ها
3
سن
39
همونطر که دوستان گفتند خب وقتی اجازه می دی که HTML بنویسه باید HTML بنویسه دیگه

و دیگر اینکه تا اونجای که من می دونم کدهای هست که بشه تیکه js رو از کد HTML تشخیص داد و اون رو حذف کرد

و حتی می شه یک سری کده HTML رو محدود کرد نباید چیزه پیچیده ای باشه
 

hossein_asp

کاربر تازه وارد
تاریخ عضویت
31 مارس 2005
نوشته‌ها
639
لایک‌ها
0
سن
39
محل سکونت
جایی که خدا نباشد
همونطر که دوستان گفتند خب وقتی اجازه می دی که HTML بنویسه باید HTML بنویسه دیگه

و دیگر اینکه تا اونجای که من می دونم کدهای هست که بشه تیکه js رو از کد HTML تشخیص داد و اون رو حذف کرد

و حتی می شه یک سری کده HTML رو محدود کرد نباید چیزه پیچیده ای باشه

یه لیست از اینا که باید محدود بشه میتونی بدی ؟
 

Shahed

کاربر قدیمی پرشین تولز
تاریخ عضویت
30 ژوئن 2003
نوشته‌ها
7,270
لایک‌ها
34
محل سکونت
mt.cgi
همونطر که دوستان گفتند خب وقتی اجازه می دی که HTML بنویسه باید HTML بنویسه دیگه

و دیگر اینکه تا اونجای که من می دونم کدهای هست که بشه تیکه js رو از کد HTML تشخیص داد و اون رو حذف کرد

و حتی می شه یک سری کده HTML رو محدود کرد نباید چیزه پیچیده ای باشه
بله میشه !! ولی چه شدنی !! مطمئنا نمیشه همه کدهای خطرناک رو محدود کرد.
چرا؟ چونفرضا <script> رو ببندی !! طرف میاد با <embed> خراب کاری میکنه !! <embed> رو هم ببندی طرح با meta خراب کاری میکنه !! meta رو هم ببندی با iframe !! والخ .. !!
عملا کار بیهوده ایه !! چون هزار و یک تگ هست که الزاما خطرناک نیستن !! ولی الزاما بی خطر هم نیستن !!
مثال میزنم !! تگ font !! به نظر خیلی آروم و بی خطر میاد !! فکر کن مثلا یکی بیاد بوسیله تگ <font> باز شده یه چیزی بنویسه و </font> رو نبنده !! چی میشه؟ اتربیوزش روی کل صفحه اعمال میشه !!

کافی بود یا بازم بگم؟ :D
 

ocarina4

Registered User
تاریخ عضویت
3 دسامبر 2007
نوشته‌ها
160
لایک‌ها
25
محل سکونت
مشهد
تابعی چیزی نیست؟ که بگه فقط یه سری تگ خاص رو قبول کن و باقی رو پس بزن؟
 

hossein_asp

کاربر تازه وارد
تاریخ عضویت
31 مارس 2005
نوشته‌ها
639
لایک‌ها
0
سن
39
محل سکونت
جایی که خدا نباشد
بله میشه !! ولی چه شدنی !! مطمئنا نمیشه همه کدهای خطرناک رو محدود کرد.
چرا؟ چونفرضا <script> رو ببندی !! طرف میاد با <embed> خراب کاری میکنه !! <embed> رو هم ببندی طرح با meta خراب کاری میکنه !! meta رو هم ببندی با iframe !! والخ .. !!
عملا کار بیهوده ایه !! چون هزار و یک تگ هست که الزاما خطرناک نیستن !! ولی الزاما بی خطر هم نیستن !!
مثال میزنم !! تگ font !! به نظر خیلی آروم و بی خطر میاد !! فکر کن مثلا یکی بیاد بوسیله تگ <font> باز شده یه چیزی بنویسه و </font> رو نبنده !! چی میشه؟ اتربیوزش روی کل صفحه اعمال میشه !!

کافی بود یا بازم بگم؟ :D

نه دیگه نگو :wacko: یه فکرای پلیدی به ذهنم رسید یه سر به cloob بزنم :D
 

miladmovie

مدیر بازنشسته
کاربر فعال
تاریخ عضویت
25 دسامبر 2002
نوشته‌ها
1,939
لایک‌ها
3
سن
39
بله میشه !! ولی چه شدنی !! مطمئنا نمیشه همه کدهای خطرناک رو محدود کرد.
چرا؟ چونفرضا <script> رو ببندی !! طرف میاد با <embed> خراب کاری میکنه !! <embed> رو هم ببندی طرح با meta خراب کاری میکنه !! meta رو هم ببندی با iframe !! والخ .. !!
عملا کار بیهوده ایه !! چون هزار و یک تگ هست که الزاما خطرناک نیستن !! ولی الزاما بی خطر هم نیستن !!
مثال میزنم !! تگ font !! به نظر خیلی آروم و بی خطر میاد !! فکر کن مثلا یکی بیاد بوسیله تگ <font> باز شده یه چیزی بنویسه و </font> رو نبنده !! چی میشه؟ اتربیوزش روی کل صفحه اعمال میشه !!

کافی بود یا بازم بگم؟ :D
خب می تونی موضوع رو از اون طرفی نگاه کنی !
نه شاهد از اون طرف نه ! از اون طرف!,


آها آره همونجا به ایست نگاه کن

گرفتی ؟ ای بابا !

خب اصلا برگرد همینجا خودم بهت می گم
چه اشکالی داره که اینطوری بگیم که فقط مثلا B font U و ... قبوله و اگر کسی تکستی نوشت که شبیه HTML یا js بود ولی توی این لیست نبود > dev/null/ اش بکن
این سخاوت صاحب سایته که می گه HTML قبوله ولی خب می تونه محدودش کنه مثلا توی کلوب که می گید می شه(نمی دونم که آیا اینطوری هست یا نه, فقط یک پیشنهاد بود) فقط HTML ها که برای آرستن متن قابل قبول باشه و ...
 

Shahed

کاربر قدیمی پرشین تولز
تاریخ عضویت
30 ژوئن 2003
نوشته‌ها
7,270
لایک‌ها
34
محل سکونت
mt.cgi
خب می تونی موضوع رو از اون طرفی نگاه کنی !
نه شاهد از اون طرف نه ! از اون طرف!,


آها آره همونجا به ایست نگاه کن

گرفتی ؟ ای بابا !

خب اصلا برگرد همینجا خودم بهت می گم
چه اشکالی داره که اینطوری بگیم که فقط مثلا B font U و ... قبوله و اگر کسی تکستی نوشت که شبیه HTML یا js بود ولی توی این لیست نبود > dev/null/ اش بکن
این سخاوت صاحب سایته که می گه HTML قبوله ولی خب می تونه محدودش کنه مثلا توی کلوب که می گید می شه(نمی دونم که آیا اینطوری هست یا نه, فقط یک پیشنهاد بود) فقط HTML ها که برای آرستن متن قابل قبول باشه و ...
ببین تو bbcode همین مثلا vb !! میشه تعیین کرد سایز فونت از مثلا 7 بیشتر نباشه !! بیشتر قبول نمیکنه ! چک کردن همچین اتربیوزی توی bbcode کاری نداره ! چون خودت باید parse ش کنی !! اما توی html یکی میتونه بیاد راحت با font 72 چیز بنویسه ! واعمال محدودیت روی این اتربیوز هم نشدنیه و یا خیلی سخته !! اگر هم بشه راحت میشه پیچش زد !! مثال میزنم !! مثلا واحد سایز فونت که pt داریم و px !! هر px تقریبا 10-12 برابر pt هست. (به سایز صفحه بستگی داره) حالا تو میخوای چی رو محدود کنی؟ عدد اتربیوز بیشتر از 7 رو؟ خوب اگه 7pt تعیین بشه معادل 70px میشه !! میشه همون همون !!

هون مثال اولی من رو نگاه کن ! این رو
بزار تو صفحه بدون اینکه با </font> ببندیش !! سایز فونت تمام صفحه رو میکنه 70 !!
 

hossein_asp

کاربر تازه وارد
تاریخ عضویت
31 مارس 2005
نوشته‌ها
639
لایک‌ها
0
سن
39
محل سکونت
جایی که خدا نباشد
خب می تونی موضوع رو از اون طرفی نگاه کنی !
نه شاهد از اون طرف نه ! از اون طرف!,


آها آره همونجا به ایست نگاه کن

گرفتی ؟ ای بابا !

خب اصلا برگرد همینجا خودم بهت می گم
چه اشکالی داره که اینطوری بگیم که فقط مثلا B font U و ... قبوله و اگر کسی تکستی نوشت که شبیه HTML یا js بود ولی توی این لیست نبود > dev/null/ اش بکن
این سخاوت صاحب سایته که می گه HTML قبوله ولی خب می تونه محدودش کنه مثلا توی کلوب که می گید می شه(نمی دونم که آیا اینطوری هست یا نه, فقط یک پیشنهاد بود) فقط HTML ها که برای آرستن متن قابل قبول باشه و ...

با strip_tag میشه کنترل کرد اما بازم اطمینانی نیست.خیلی درد سر داره.ولی من راهشو پیدا کردم همین html ادیتور رو میزارم برا عدم ایجاد مشکل هم صدقه میدم :D
 

balabala

کاربر قدیمی پرشین تولز
کاربر قدیمی پرشین تولز
تاریخ عضویت
22 می 2005
نوشته‌ها
8,362
لایک‌ها
5,745
سن
41
محل سکونت
یه خورده اونورتر
چرا لقمه رو میچرخونید میکنید دهنتون؟ :دی لازم نیست بعضی تگ ها رو حذف کنید که! بجاش فقط اجازه استفاده از چندتا تگ رو بدید و هرچی دیگه که بین < > بود دیپرت بکنید!
 

Shahed

کاربر قدیمی پرشین تولز
تاریخ عضویت
30 ژوئن 2003
نوشته‌ها
7,270
لایک‌ها
34
محل سکونت
mt.cgi
با strip_tag میشه کنترل کرد اما بازم اطمینانی نیست.خیلی درد سر داره.ولی من راهشو پیدا کردم همین html ادیتور رو میزارم برا عدم ایجاد مشکل هم صدقه میدم :D
با استریپ تگ میتونی تگهایی که میخوای رو allowable کنی ولی کنترلی روی اتربیوزهاش نیست !! اگه راهی برای کنترل اتربیوزهاش پیدا شد به منم بگو دنبالشم !! :دی
 

Shahed

کاربر قدیمی پرشین تولز
تاریخ عضویت
30 ژوئن 2003
نوشته‌ها
7,270
لایک‌ها
34
محل سکونت
mt.cgi
چرا لقمه رو میچرخونید میکنید دهنتون؟ :دی لازم نیست بعضی تگ ها رو حذف کنید که! بجاش فقط اجازه استفاده از چندتا تگ رو بدید و هرچی دیگه که بین < > بود دیپرت بکنید!
دقیقا strip_html همین کار رو میکنه خوب !! :دی
 
بالا