Рекомендации по обеспечению безопасности CKEditor
Я использую http://ckeditor.com / в небольшом форуме PHP/MySQL, который я создал. Мои вопросы:
-
Безопасно ли сохранять созданный пользователем HTML-код, подобный этому, в базе данных, а затем повторно отображать его в моем приложении? Какие меры предосторожности я должен предпринять, чтобы защитить пользователей моего форума от внедрения скриптов и тому подобного?
<p>test</p> <span style="font-size: 14px;">test</span>
Было бы безопаснее использовать BBCode вместо HTML? Я попробовал плагин bbcode ckeditor, но ему не хватает некоторого базового форматирования, такого как текст выравнивание... Кто-нибудь знает, как расширить плагин, чтобы добавить к нему выравнивание текста?
1 answers
Что касается вашего первого вопроса, вам нужно сделать две основные вещи:
Безопасно сохраняйте пользовательский контент в своей базе данных, чтобы вы не были уязвимы для атаки с использованием SQL-инъекций. Смотрите этот вопрос SO, чтобы узнать, как лучше всего справиться с этим => Лучший способ остановить внедрение SQL в PHP.
Предотвратите отправку кем-либо небезопасного HTML-кода в вашу базу данных, который затем будет повторно отображен вашим пользователям и сделает их уязвимыми для атаки XSS. Существует множество вопросы, которые касаются этого здесь, на SO. Вот один=>Предотвращение XSS в PHP.