Estou pensando em uma aplicação onde os próprios usúarios iriam disponibilizar conteúdo em um site, fiz alguns testes utilizando fckeditor + Mysql e tudo ok.
Só que veio me a cabeça, a questão de segurança... com o fckeditor posso adicionar quaisquer código html, o que permitiria, em tese adição de injeções sql, iframes, javascripts ou outros diretamente no meu banco...
Como posso permitir que os usuarios possam enviar conteúdo, com opções de alinhamento e adição de imagens, sem comprometer a minha segurança?
Se possível, aguardo sugestões
Segurança
Started By ninguem, 06/07/2008, 12:02
1 reply to this topic
#2
boirock
-
- Usuários
-
- 1559 posts
Tecnologia para todos (agora hexa campeão)
- Sexo:Masculino
- Localidade:Curitiba - PR
- Interesses:PostgreSQL - PHP
Posted 06/07/2008, 12:19
Com FCKEditor eu não sei, mas provavemente tem um jeito.
Com o TyniMCE você pode definir facilmente que tipo de conteúdo o usuário pode usar.
Se quiser que o usuário só possa usar negrito, itálico, sublinhado e imagem... ok! Você pode. E faz isso de maneira bem intuitiva.
Mas se você quer deixar todas as possibilidades, é um risco que você corre...
Existem meios de "filtrar" alguns conteúdos antes da inserção, mas o risco ainda é grande. Nada impede que o seu usuário coloque um código malicioso que vá prejudicar o seu usuário final.
Só não entendi o risco de SQL njection que você citou...
Com o TyniMCE você pode definir facilmente que tipo de conteúdo o usuário pode usar.
Se quiser que o usuário só possa usar negrito, itálico, sublinhado e imagem... ok! Você pode. E faz isso de maneira bem intuitiva.
Mas se você quer deixar todas as possibilidades, é um risco que você corre...
Existem meios de "filtrar" alguns conteúdos antes da inserção, mas o risco ainda é grande. Nada impede que o seu usuário coloque um código malicioso que vá prejudicar o seu usuário final.
Só não entendi o risco de SQL njection que você citou...
1 user(s) are reading this topic
0 membro(s), 1 visitante(s) e 0 membros anônimo(s)
