View Single Post
ישן 18-06-11, 22:29   # 9
~The_Sultan~
חבר על
 
מיני פרופיל
תאריך הצטרפות: Oct 2008
הודעות: 771

~The_Sultan~ לא מחובר  

ציטוט:
נכתב במקור על ידי IgalSt צפה בהודעה
חור האבטחה לא נמצא בעורך עצמו, אלא בצד שרת שקולט את הפלט של העורך: מלכתחילה אתה מאפשר בשדה זה שיהיה קוד HTML וכתצואה מכך גם קוד JS.
אז נכון שאתה יכול לנסות לסנן החוצה תגיות <script>, אבל יש כ"כ הרבה אפשרויות לעקוף את זה.
כמה דוגמאות:
HTML קוד:
<script > // note the space before ">"
<scri<!---->pt>
בשורה אחת:
PHP קוד:
preg_replace("/<.*script.*>/"""$content); 
בנוסף, ניתן לחסום פונקציות מסוימות כמו קוד מקור בעורך CKEDITOR בקלות, וזה יאבטח את האזור.
  Reply With Quote