آژانس هواپیماییexchanging

ادیتور html و امنیت سایت!

شروع موضوع توسط hossein_asp ‏18 دسامبر 2007 در انجمن PHP

  1. hossein_asp

    hossein_asp کاربر تازه وارد

    تاریخ عضویت:
    ‏31 مارس 2005
    نوشته ها:
    637
    تشکر شده:
    0
    محل سکونت:
    جایی که خدا نباشد
    یه سوال برام پیش اومده در مورد استفاده از ادیتور Html برای ارسال مطالب کاربران در سایت این کارخطرناک نیست؟ چون یوزرها میتونن کد جاوا اسکرپیت هم به سایت ارسال کنن این مشکلو میشه حل کرد؟من به نظرم رسیده که با strip_tag جاوا اسکرپیتو رو حذف کنیم(البته حذف تگ جاوا اسکریپت برای ارسال پاسخ ها درد سر میشه برای کاربران مثلا بخش جاوا اسکرپیت) اما یک سوال مهمتر آیا این مشکل هک رو کامل رفع میکنه یا تگ های خطرناکی هم تو html وجود داره یا اصلا نگرانی من بی مورده؟
    در کل بیام با هزار گرفتاری این کد های BB رو پیاد سازی کنم :wacko:یا همون ادیتور HTML رو بگذاریم.
     
  2. hossein_asp

    hossein_asp کاربر تازه وارد

    تاریخ عضویت:
    ‏31 مارس 2005
    نوشته ها:
    637
    تشکر شده:
    0
    محل سکونت:
    جایی که خدا نباشد
    کسی تا حالا به این موضوع فکر نکرده یا من زیادی گیج میزنم؟؟؟
     
  3. ocarina4

    ocarina4 Registered User

    تاریخ عضویت:
    ‏3 دسامبر 2007
    نوشته ها:
    186
    تشکر شده:
    25
    محل سکونت:
    مشهد
  4. balabala

    balabala کاربر قدیمی پرشین تولز

    تاریخ عضویت:
    ‏22 می 2005
    نوشته ها:
    7,351
    تشکر شده:
    1,332
    محل سکونت:
    یه خورده اونورتر
    معمولا html editorهای معروف فکر اینها رو کردن. اجازه نوشتن جاوا نمیدن یا اگر بدن کدش میکنن.
     
  5. hossein_asp

    hossein_asp کاربر تازه وارد

    تاریخ عضویت:
    ‏31 مارس 2005
    نوشته ها:
    637
    تشکر شده:
    0
    محل سکونت:
    جایی که خدا نباشد
    علیک سلام برادر من اگه از این استفاده کنم که اونوقت html ادیتور میخوام چیکار.

    اینایی که من دیدم تاحالا زیاد فکر نکرده بودن مثل اینکه!! ادیتور نوشتن کاری نداره که یه iframe یه صفحه دیفالت لود توش سپس همش کامند هست خیلی ساده است.
     
  6. Shahed

    Shahed کاربر قدیمی پرشین تولز

    تاریخ عضویت:
    ‏30 ژوئن 2003
    نوشته ها:
    7,175
    تشکر شده:
    31
    محل سکونت:
    mt.cgi
    اگه منظورت sql injection هست که همون htmlspecialchars و یا addslashes چاره کار هست !!

    منظورت رو هم از جاوا نفهمیدم !! خوب وقتی ادیتور html میزاری دیگه همه چی میشه توش نوشت !! کنترلی رو جنس تگها هم به اون راحتی نمیشه داشت.
    در این مورد تنها راه استفاده از bbcode هست.
     
  7. hossein_asp

    hossein_asp کاربر تازه وارد

    تاریخ عضویت:
    ‏31 مارس 2005
    نوشته ها:
    637
    تشکر شده:
    0
    محل سکونت:
    جایی که خدا نباشد

    برا sql injection که موقع ارسال داده به db چک میکنم مشکلی تو اون نیست.منظورم اینه مثلا کاربر بیاد یه کد جاوا اسکریپت بفرسته تو صفحه هی رفش کنه یا اصلا تگ html بزاره برا این کار یا ...الان کلوب با این همه ادعاش داره از ادیتور Html استفاده میکنه .
    ادیتوری هست کد bb رو ساپورت کنه؟
     
  8. Shahed

    Shahed کاربر قدیمی پرشین تولز

    تاریخ عضویت:
    ‏30 ژوئن 2003
    نوشته ها:
    7,175
    تشکر شده:
    31
    محل سکونت:
    mt.cgi
    راهی بجز همون bbcode نمیشناسم.
    tinymce.
     
  9. hossein_asp

    hossein_asp کاربر تازه وارد

    تاریخ عضویت:
    ‏31 مارس 2005
    نوشته ها:
    637
    تشکر شده:
    0
    محل سکونت:
    جایی که خدا نباشد
    آره راه کاملا مشخصه ساخت ادیتور bb هم زیاد سخت نیست با جاو اسکریپت راحته اما امان از وقتی که پیادش کنی باید با عبارت منظم باشه و این مساوی است با کلی درد سر که خودت می دونی.خودش یه پروژه اساسی میشه.
     
  10. miladmovie

    miladmovie مدیر بازنشسته کاربر فعال

    تاریخ عضویت:
    ‏25 دسامبر 2002
    نوشته ها:
    1,936
    تشکر شده:
    2
    همونطر که دوستان گفتند خب وقتی اجازه می دی که HTML بنویسه باید HTML بنویسه دیگه

    و دیگر اینکه تا اونجای که من می دونم کدهای هست که بشه تیکه js رو از کد HTML تشخیص داد و اون رو حذف کرد

    و حتی می شه یک سری کده HTML رو محدود کرد نباید چیزه پیچیده ای باشه
     
  11. hossein_asp

    hossein_asp کاربر تازه وارد

    تاریخ عضویت:
    ‏31 مارس 2005
    نوشته ها:
    637
    تشکر شده:
    0
    محل سکونت:
    جایی که خدا نباشد
    یه لیست از اینا که باید محدود بشه میتونی بدی ؟
     
  12. Shahed

    Shahed کاربر قدیمی پرشین تولز

    تاریخ عضویت:
    ‏30 ژوئن 2003
    نوشته ها:
    7,175
    تشکر شده:
    31
    محل سکونت:
    mt.cgi
    بله میشه !! ولی چه شدنی !! مطمئنا نمیشه همه کدهای خطرناک رو محدود کرد.
    چرا؟ چونفرضا <script> رو ببندی !! طرف میاد با <embed> خراب کاری میکنه !! <embed> رو هم ببندی طرح با meta خراب کاری میکنه !! meta رو هم ببندی با iframe !! والخ .. !!
    عملا کار بیهوده ایه !! چون هزار و یک تگ هست که الزاما خطرناک نیستن !! ولی الزاما بی خطر هم نیستن !!
    مثال میزنم !! تگ font !! به نظر خیلی آروم و بی خطر میاد !! فکر کن مثلا یکی بیاد بوسیله تگ <font> باز شده یه چیزی بنویسه و </font> رو نبنده !! چی میشه؟ اتربیوزش روی کل صفحه اعمال میشه !!

    کافی بود یا بازم بگم؟ :D
     
  13. avajang.com .leftavajang.com.right
  14. ocarina4

    ocarina4 Registered User

    تاریخ عضویت:
    ‏3 دسامبر 2007
    نوشته ها:
    186
    تشکر شده:
    25
    محل سکونت:
    مشهد
    تابعی چیزی نیست؟ که بگه فقط یه سری تگ خاص رو قبول کن و باقی رو پس بزن؟
     
  15. hossein_asp

    hossein_asp کاربر تازه وارد

    تاریخ عضویت:
    ‏31 مارس 2005
    نوشته ها:
    637
    تشکر شده:
    0
    محل سکونت:
    جایی که خدا نباشد
    نه دیگه نگو :wacko: یه فکرای پلیدی به ذهنم رسید یه سر به cloob بزنم :D
     
  16. miladmovie

    miladmovie مدیر بازنشسته کاربر فعال

    تاریخ عضویت:
    ‏25 دسامبر 2002
    نوشته ها:
    1,936
    تشکر شده:
    2
    خب می تونی موضوع رو از اون طرفی نگاه کنی !
    نه شاهد از اون طرف نه ! از اون طرف!,


    آها آره همونجا به ایست نگاه کن

    گرفتی ؟ ای بابا !

    خب اصلا برگرد همینجا خودم بهت می گم
    چه اشکالی داره که اینطوری بگیم که فقط مثلا B font U و ... قبوله و اگر کسی تکستی نوشت که شبیه HTML یا js بود ولی توی این لیست نبود > dev/null/ اش بکن
    این سخاوت صاحب سایته که می گه HTML قبوله ولی خب می تونه محدودش کنه مثلا توی کلوب که می گید می شه(نمی دونم که آیا اینطوری هست یا نه, فقط یک پیشنهاد بود) فقط HTML ها که برای آرستن متن قابل قبول باشه و ...
     
  17. Shahed

    Shahed کاربر قدیمی پرشین تولز

    تاریخ عضویت:
    ‏30 ژوئن 2003
    نوشته ها:
    7,175
    تشکر شده:
    31
    محل سکونت:
    mt.cgi
    ببین تو bbcode همین مثلا vb !! میشه تعیین کرد سایز فونت از مثلا 7 بیشتر نباشه !! بیشتر قبول نمیکنه ! چک کردن همچین اتربیوزی توی bbcode کاری نداره ! چون خودت باید parse ش کنی !! اما توی html یکی میتونه بیاد راحت با font 72 چیز بنویسه ! واعمال محدودیت روی این اتربیوز هم نشدنیه و یا خیلی سخته !! اگر هم بشه راحت میشه پیچش زد !! مثال میزنم !! مثلا واحد سایز فونت که pt داریم و px !! هر px تقریبا 10-12 برابر pt هست. (به سایز صفحه بستگی داره) حالا تو میخوای چی رو محدود کنی؟ عدد اتربیوز بیشتر از 7 رو؟ خوب اگه 7pt تعیین بشه معادل 70px میشه !! میشه همون همون !!

    هون مثال اولی من رو نگاه کن ! این رو
    بزار تو صفحه بدون اینکه با </font> ببندیش !! سایز فونت تمام صفحه رو میکنه 70 !!
     
  18. hossein_asp

    hossein_asp کاربر تازه وارد

    تاریخ عضویت:
    ‏31 مارس 2005
    نوشته ها:
    637
    تشکر شده:
    0
    محل سکونت:
    جایی که خدا نباشد
    با strip_tag میشه کنترل کرد اما بازم اطمینانی نیست.خیلی درد سر داره.ولی من راهشو پیدا کردم همین html ادیتور رو میزارم برا عدم ایجاد مشکل هم صدقه میدم :D
     
  19. balabala

    balabala کاربر قدیمی پرشین تولز

    تاریخ عضویت:
    ‏22 می 2005
    نوشته ها:
    7,351
    تشکر شده:
    1,332
    محل سکونت:
    یه خورده اونورتر
    چرا لقمه رو میچرخونید میکنید دهنتون؟ :دی لازم نیست بعضی تگ ها رو حذف کنید که! بجاش فقط اجازه استفاده از چندتا تگ رو بدید و هرچی دیگه که بین < > بود دیپرت بکنید!
     
  20. Shahed

    Shahed کاربر قدیمی پرشین تولز

    تاریخ عضویت:
    ‏30 ژوئن 2003
    نوشته ها:
    7,175
    تشکر شده:
    31
    محل سکونت:
    mt.cgi
    با استریپ تگ میتونی تگهایی که میخوای رو allowable کنی ولی کنترلی روی اتربیوزهاش نیست !! اگه راهی برای کنترل اتربیوزهاش پیدا شد به منم بگو دنبالشم !! :دی
     
  21. Shahed

    Shahed کاربر قدیمی پرشین تولز

    تاریخ عضویت:
    ‏30 ژوئن 2003
    نوشته ها:
    7,175
    تشکر شده:
    31
    محل سکونت:
    mt.cgi
    دقیقا strip_html همین کار رو میکنه خوب !! :دی