Forum Webscript.Ru

Программирование => PHP => Тема начата: alextas от 16 Января 2007, 20:54:01

Название: О безопасности
Отправлено: alextas от 16 Января 2007, 20:54:01

Добрый времени суток всем.
Суть проблемы в следующем:
есть некий сайт, со статьями к которым посетители могут добавлять свои комментарии. В настоящий момент все HTML теги в комментах я убиваю через htmlspecialchars.

Сечас, по просьбе трудящихся :), хочу дать пользователям возможность вставлять в комментарии http ссылки.

И собственно чайниковский вопрос - какие подводные камни могут встретится с точки зрения безопасности?

Подскажите, плз, или отправьте куда почитать

Название: О безопасности
Отправлено: USE от 16 Января 2007, 21:47:05

Вы пробуйте, время покажет ;-)

Название: О безопасности
Отправлено: CGVictor от 16 Января 2007, 22:02:21

USE
И это называется - помог? : /

alextas
Вставка ссылок не отменяет htmlspecialchars.
[off]Собссно, у тебя задача найти в тексте все http://... и заменить их на http://...[/off]
Поищи по форуму, есть куски кода - и даже в мануале я видел.

Ах, да. Безопасность.
Если ты не даешь права писать теги, а преобразовываешь урлы сам - то ничего особо страшного тебе встретиться не должно.

Название: О безопасности
Отправлено: alextas от 16 Января 2007, 23:45:17

CGVictor
 

Цитировать

Если ты не даешь права писать теги, а преобразовываешь урлы сам - то ничего особо страшного тебе встретиться не должно.

Спасибо.

С кодом у меня проблем нет. Замену произвожу нормально.
Просто поскольку любитель и пишу от случая к случаю, то интересовал вопрос - вдруг упускаю что либо существенное.