Nietypowa walidacja, problem z bezpieczenstwem Opcje

[lukaskolista]

Witam. Musze do bazy danych zapisac teksty uzytkownikow z tinymce editora. Musze to jednak zrobic w czystej postaci: nie moge przepuscic tekstu przez htmlspecialchars)= i zapisac do bazy, a nastepnie przy wyswietlaniu uzyc htmlspecialchars_decode(). Musze zapisac je ze znakami specjalnymi. W tym wlasnie problem. W takim przypadku edytor tekstowy staje sie okienkiem do wpisywania polecen dla hakerow. Macie moze pomysl, jak rozwiazac ten problem? Z gory dziekuje za pomoc:)

[piotr94]

fraz php nie musisz filtorwać, chyba, że gdzieś jest eval(); (IMG:style_emoticons/default/biggrin.gif)
co do fraz SQL to bym to załatwił tak:

[PHP] pobierz, plaintext 
 $tekst_z_tinymce=preg_replace(array('/ OR /','/ Or /','/ oR /','/ or /'),array( ' OR ',' Or ',' oR ',' or '),$tekst_z_tinymce);
[PHP] pobierz, plaintext 

i podobnie AND,... nie musisz filtrować wszystkich słów kluczowych SQL - przeanalizuj które w Twoim zapytaniu moga stwarzać niebezpieczeństwo i filtruj tylko je
//EDIT w drugim array(); powinny być znaczniki &# xxx ;, ale nie wiem czemu forum zamienia te znaczki na litery

Ten post edytował piotr94 22.07.2010, 09:40:41

[Fifi209]

fraz php nie musisz filtorwać, chyba, że gdzieś jest eval(); (IMG:style_emoticons/default/biggrin.gif)
co do fraz SQL to bym to załatwił tak:

[PHP] pobierz, plaintext 
 $tekst_z_tinymce=preg_replace(array('/ OR /','/ Or /','/ oR /','/ or /'),array( ' OR ',' Or ',' oR ',' or '),$tekst_z_tinymce);
[PHP] pobierz, plaintext 

i podobnie AND,... nie musisz filtrować wszystkich słów kluczowych SQL - przeanalizuj które w Twoim zapytaniu moga stwarzać niebezpieczeństwo i filtruj tylko je
//EDIT w drugim array(); powinny być znaczniki &# xxx ;, ale nie wiem czemu forum zamienia te znaczki na litery

Takie zabezpieczenie nie jest najlepsze, o ile pamiętam wystarczy zabawa z komentarzami.

Co do zabezpieczeń polecam videoarty Unknow'a.

Ten post edytował fifi209 27.07.2010, 10:06:46