WYSIWYG Editör Güvenlik açığı
Arkadaşlar öncelikle merhaba küçük çaplı bir form sitesi tasarlıyorum .
bu siteye doğal olarak bir text editörü eklemem ve kullanıcıların yazı yazarken gerektiğinde kalınlaştırmaları gerektiğinde altını çizmeleri vs gerekiyor.
Ancak direkt WYSIWYG editör koyarsam sonra bunu veritabanına gönderip tekrar çekersem insanlar buraya script etiketleri koyabilirler bunun için nasıl bi önlem almam gerek Htmlde sadece belirli kodlara izin verebilirmiyim örneğin sadece b> /b> etiketlerine izin versem. bunu yapabilir miyim eğer yaparsam gene güvenlik açığı oluşur mu
<b>Kısaca sormak istediğim wysiwyg editörü herkes kullanabiliyor ve güvenlik açıklarından korunmak istiyorum</b>
Soru hatalı mı? 👎
Eğer sorunun kurallara aykırı olduğunu düşünüyorsanız lütfen bize bildirin!
Cevaplar (2)
http://htmlpurifier.org/ bu adresi inceleyin. Sadece gerekli etiketlerin v.t ye geçmesine izin verebilirsiniz.
Merhaba, WYSIWYG editörlerde benim kullandığım yöntem gelen datayi encode edip daha sonra decode etmek.
$data = htmlspecialchars(addslashes($data));
Yazdıracağım zaman ise decode ediyorum;
$data = htmlspecialchars_decode($data);
Daha fazla bilgi almak için htmlspecialchars ve
addslashes