הוסטס - פורום אחסון האתרים הגדול בישראל
עמוד 1 מתוך 2 1 2
הצג 40 הודעות באשכול על דף אחד

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)
-   -   עורך טקסט עשיר לאתר. (https://hosts.co.il/forums/showthread.php?t=90244)

dor77 17-06-11 20:54
עורך טקסט עשיר לאתר.
 
שלום.
אני רוצה לאפשר לגולשים לעצב את הטקסט שהם מכניסים לאתר, צבע, גודל, להוסיף תמונה וכ'ו.
יש למישהו עורך כזה?
ללא אפשרות להכניס html כמובן..

וגם איך מתקינים את זה? איך זה פועל? זה נכנס למסד וזהו? כשאני שולף את זה, זה בא מעוצב?

אשמח לעזרה, לא התעסקתי עם זה עד היום.

תודה.

Shay Ben Moshe 17-06-11 21:05
בדוק את CKEditor וTinyMCE. עורכי טקסט WYSIWYG מצויינים.

dor77 18-06-11 02:51
ואיך זה פועל?
מה אני אמור לעשות עם העורך?

איך אני מקבל את הנתונים?

תודה.

mrns 18-06-11 03:45
ציטוט:
נכתב במקור על ידי dor77 (פרסם 808306)
ואיך זה פועל?
מה אני אמור לעשות עם העורך?

איך אני מקבל את הנתונים?

תודה.
אתה מעביר את התוכן ב POST למשתנה ומכניס את תוכן המשתנה למסד וכל בכל פעם שתרצה תוכל להדפיס אותו.

IgalSt 18-06-11 12:45
חושב לזכור שאם מדובר בגולשים רגילים (ולא כאלה שבדקת ואתה וסמך עליהם כמו לדוגמה מנהלים), מדובר בפרצת אבטחה לא קטנה שתאפשר להם להזריק כל קוד HTML, JS או CSS שירצו לעמוד שאתה נותן לערוך בצורה כזאת.
המשמעויות הן שאפשר בקלות לנתב גולשים מהעמוד הזה לאתר אחר במקרה הטוב, או במקרה הרע לגנוב עוגיות של משתמשים ולהתחזות להם לדוגמה.

dor77 18-06-11 15:15
אז איך בכל זאת אני יכול לאפשר לגולשים (שאני לא סומך עליהם) לעצב את התוכן מבלי להיות חשוף לפירצה?
יש את זה בהרבה אתרים, בעיק ר אתרי מאמרים.

תודה.

mrns 18-06-11 15:22
ציטוט:
נכתב במקור על ידי IgalSt (פרסם 808331)
חושב לזכור שאם מדובר בגולשים רגילים (ולא כאלה שבדקת ואתה וסמך עליהם כמו לדוגמה מנהלים), מדובר בפרצת אבטחה לא קטנה שתאפשר להם להזריק כל קוד HTML, JS או CSS שירצו לעמוד שאתה נותן לערוך בצורה כזאת.
המשמעויות הן שאפשר בקלות לנתב גולשים מהעמוד הזה לאתר אחר במקרה הטוב, או במקרה הרע לגנוב עוגיות של משתמשים ולהתחזות להם לדוגמה.
היום כל עורך טקסט מאובטח והם חסמו את חורי האבטחה האלו...
תנסה לבד:
http://ckeditor.com/demo

IgalSt 18-06-11 19:50
ציטוט:
נכתב במקור על ידי mrns (פרסם 808345)
היום כל עורך טקסט מאובטח והם חסמו את חורי האבטחה האלו...
תנסה לבד:
http://ckeditor.com/demo
חור האבטחה לא נמצא בעורך עצמו, אלא בצד שרת שקולט את הפלט של העורך: מלכתחילה אתה מאפשר בשדה זה שיהיה קוד HTML וכתצואה מכך גם קוד JS.
אז נכון שאתה יכול לנסות לסנן החוצה תגיות <script>, אבל יש כ"כ הרבה אפשרויות לעקוף את זה.
כמה דוגמאות:
HTML קוד:
<script > // note the space before ">"
<scri<!---->pt>

~The_Sultan~ 18-06-11 22:29
ציטוט:
נכתב במקור על ידי IgalSt (פרסם 808379)
חור האבטחה לא נמצא בעורך עצמו, אלא בצד שרת שקולט את הפלט של העורך: מלכתחילה אתה מאפשר בשדה זה שיהיה קוד HTML וכתצואה מכך גם קוד JS.
אז נכון שאתה יכול לנסות לסנן החוצה תגיות <script>, אבל יש כ"כ הרבה אפשרויות לעקוף את זה.
כמה דוגמאות:
HTML קוד:
<script > // note the space before ">"
<scri<!---->pt>
בשורה אחת:
PHP קוד:
preg_replace("/<.*script.*>/"""$content); 
בנוסף, ניתן לחסום פונקציות מסוימות כמו קוד מקור בעורך CKEDITOR בקלות, וזה יאבטח את האזור.

dor77 19-06-11 02:36
אני מאבטח את המשתנה שמתקבל מהעורך עם mysql_real_escape_string ועם htmlspecialchars אז זה פותר את הבעיה לא?


כל הזמנים הם GMT +2. הזמן כעת הוא 18:27.
עמוד 1 מתוך 2 1 2
הצג 40 הודעות באשכול על דף אחד

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ