Ciao,
sto realizzando un'applicazione che permette a degli utenti di aggiungere degli articoli in un giornale online.
Dovrei usare un Rich-Textarea WYSIWYG editor per far formattare il testo.
Che problemi di sicurezza mi trovo ad affrontare?
Ho visto che questi editor producono codice html, io lo devo passare dentro mysql:
Lo devo trattare in qualche modo prima?
Qualcuno potrebbe passare comandio php o sql?
Qualcuno ha esperienze a riguardo?
Grazie
someone told me
love would all save us
but how can that be
look what love gave us
Sto sviluppando anche io la stessa cosa e non dò la possibilità di agire direttamente sul codice html, quindi i vari < e > inseriti direttamente nel testo vengono tradotti in codice html e quindi sono innocui.
La cosa che mi preoccupa è se qualcuno possa creare uno script esterno che valorizzi il campo con codice maligno.
Altri problemi a passare html ad un db?
Nessun problema di sicurezza in particolare?
Come trattereste il codice?
Grazie
someone told me
love would all save us
but how can that be
look what love gave us
Permessi di invio
Rispondi quotando