 [Yii] Zapobieganie przed XSS |
| [Yii] Zapobieganie przed XSS |
 16.12.2014, 00:41:45
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 13 Pomógł: 1 Dołączył: 6.12.2014 Ostrzeżenie: (0%) 
 |
Cześć!
Temat w sumie nie dotyczy tylko Yii. Jak radzić sobie z XSS (w polach od użytkownika oczekiwany jest zwykły tekst). W beforeSave() usuwać tagi html (strip_tags) i dodawać encje (CHtml::encode)? Czy zezwalać na wpisywanie do bazy dowolnych rzeczy a tylko przed wyświetleniem stosować CHtml::encode? Czy jeszcze inne rozwiązanie stosować? |
 |
 
|
 |
|
16.12.2014, 07:28:43
Post
#2
|
|
 Grupa: Zarejestrowani Postów: 4 291 Pomógł: 829 Dołączył: 14.02.2009 Skąd: łódź Ostrzeżenie: (0%)
|
Do bazy zapisujesz wszystko a CHtml::encode() przy wyświetlaniu
|
|
|
|
|
16.12.2014, 17:14:14
Post
#3
|
|
|
Grupa: Zarejestrowani Postów: 13 Pomógł: 1 Dołączył: 6.12.2014 Ostrzeżenie: (0%)
|
Dziękuje za odpowiedź, jakieś inne opinie na ten temat?
|
|
|
|
|
26.06.2015, 17:01:58
Post
#4
|
|
|
Grupa: Zarejestrowani Postów: 1 374 Pomógł: 149 Dołączył: 1.03.2006 Ostrzeżenie: (0%)
|
A jaki ma sens zapisywanie wszystkiego w bazie? Ja bym wolała wyczyścić tekst raz przed zapisem niż wielokrotnie przed wyświetlaniem.
-------------------- |
|
|
|
|
27.06.2015, 08:31:26
Post
#5
|
|
|
Grupa: Zarejestrowani Postów: 6 379 Pomógł: 1116 Dołączył: 30.08.2006 Ostrzeżenie: (0%)
|
Bo możesz potrzebować oryginalny tekst. A większość systemów szablonów (porządnych) przy wyświetlaniu robi czyszczenie.
-------------------- |
|
|
|
 |
|
Wersja Lo-Fi | Aktualny czas: 31.07.2025 - 10:53 |
