Автор Тема: О безопасности (Прочитано 3399 раз)

alextas · « : 16 Января 2007, 20:54:01 »

Добрый времени суток всем.
Суть проблемы в следующем:
есть некий сайт, со статьями к которым посетители могут добавлять свои комментарии. В настоящий момент все HTML теги в комментах я убиваю через htmlspecialchars.

Сечас, по просьбе трудящихся

, хочу дать пользователям возможность вставлять в комментарии http ссылки.

И собственно чайниковский вопрос - какие подводные камни могут встретится с точки зрения безопасности?

Подскажите, плз, или отправьте куда почитать

USE · « **Ответ #1 :** 16 Января 2007, 21:47:05 »

Вы пробуйте, время покажет ;-)

CGVictor · « **Ответ #2 :** 16 Января 2007, 22:02:21 »

USE
И это называется - помог? : /

alextas
Вставка ссылок не отменяет htmlspecialchars.
[off]Собссно, у тебя задача найти в тексте все http://... и заменить их на http://...[/off]
Поищи по форуму, есть куски кода - и даже в мануале я видел.

Ах, да. Безопасность.
Если ты не даешь права писать теги, а преобразовываешь урлы сам - то ничего особо страшного тебе встретиться не должно.

alextas · « **Ответ #3 :** 16 Января 2007, 23:45:17 »

CGVictor

Цитировать

Если ты не даешь права писать теги, а преобразовываешь урлы сам - то ничего особо страшного тебе встретиться не должно.

Спасибо.

С кодом у меня проблем нет. Замену произвожу нормально.
Просто поскольку любитель и пишу от случая к случаю, то интересовал вопрос - вдруг упускаю что либо существенное.

Новости:

Автор Тема: О безопасности (Прочитано 3399 раз)