Ciao a tutti! vorrei mettere nel mio sito un editor di testo dove la gente può scrivere, salvare sul database e poi può essere riletto altrove nel sito.
se io permetto la scrittura di <a href="" o di [URL] per inserire i link, come evito l'xxs o l'sql injection?
se uso htmlentities i link non andranno più a meno che riconverto tutto, ma allora l'xxs sarebbe ancora minaccioso, idem con addslashes.
come faccio?
Without faith, nothing is possible. With it, nothing is impossible
http://ilwebdifabio.it
come ho fatto a non incappare mai in questa cosa meravigliosa?
le impostazioni base secondo voi sono sufficienti per fare un semplice editor?
dei tanti file che si scaricano con il download di html purifier nel mio progetto posso incollare solo HTMLPurifier.auto.php o questo script ha bisogno di altri file e quindi è meglio includere tutta la cartella?
edit: l'ho aperto e mi sono risposto da solo, ci son solo due righe dove include due file
ma la domanda più o meno resta, mi devo copiare tutta la cartella o posso incollare nel progetto 2 o 3 file e basta o anche una sola cartella e basta?
e ultima domanda, è meglio filtrare i dati prima di inserirli nel database giusto? e posso usare html purifier al posto di addslashes o è meglio usarli assieme? o l'html purifier si usa SOLO quando una certa variabile può contenere markup html?
Permessi di invio
Rispondi quotando