עורך טקסט עשיר לאתר. - הוסטס

dor77 · 17-06-11, 20:54

שלום.
אני רוצה לאפשר לגולשים לעצב את הטקסט שהם מכניסים לאתר, צבע, גודל, להוסיף תמונה וכ'ו.
יש למישהו עורך כזה?
ללא אפשרות להכניס html כמובן..

וגם איך מתקינים את זה? איך זה פועל? זה נכנס למסד וזהו? כשאני שולף את זה, זה בא מעוצב?

אשמח לעזרה, לא התעסקתי עם זה עד היום.

תודה.

Shay Ben Moshe · 17-06-11, 21:05

בדוק את CKEditor וTinyMCE. עורכי טקסט WYSIWYG מצויינים.

dor77 · 18-06-11, 02:51

ואיך זה פועל?
מה אני אמור לעשות עם העורך?

איך אני מקבל את הנתונים?

תודה.

mrns · 18-06-11, 03:45

ציטוט:

נכתב במקור על ידי dor77

ואיך זה פועל?
מה אני אמור לעשות עם העורך?

איך אני מקבל את הנתונים?

תודה.

אתה מעביר את התוכן ב POST למשתנה ומכניס את תוכן המשתנה למסד וכל בכל פעם שתרצה תוכל להדפיס אותו.

**IgalSt** · 18-06-11, 12:45

חושב לזכור שאם מדובר בגולשים רגילים (ולא כאלה שבדקת ואתה וסמך עליהם כמו לדוגמה מנהלים), מדובר בפרצת אבטחה לא קטנה שתאפשר להם להזריק כל קוד HTML, JS או CSS שירצו לעמוד שאתה נותן לערוך בצורה כזאת.
המשמעויות הן שאפשר בקלות לנתב גולשים מהעמוד הזה לאתר אחר במקרה הטוב, או במקרה הרע לגנוב עוגיות של משתמשים ולהתחזות להם לדוגמה.

dor77 · 18-06-11, 15:15

אז איך בכל זאת אני יכול לאפשר לגולשים (שאני לא סומך עליהם) לעצב את התוכן מבלי להיות חשוף לפירצה?
יש את זה בהרבה אתרים, בעיק ר אתרי מאמרים.

תודה.

mrns · 18-06-11, 15:22

ציטוט:

נכתב במקור על ידי IgalSt

חושב לזכור שאם מדובר בגולשים רגילים (ולא כאלה שבדקת ואתה וסמך עליהם כמו לדוגמה מנהלים), מדובר בפרצת אבטחה לא קטנה שתאפשר להם להזריק כל קוד HTML, JS או CSS שירצו לעמוד שאתה נותן לערוך בצורה כזאת.
המשמעויות הן שאפשר בקלות לנתב גולשים מהעמוד הזה לאתר אחר במקרה הטוב, או במקרה הרע לגנוב עוגיות של משתמשים ולהתחזות להם לדוגמה.

היום כל עורך טקסט מאובטח והם חסמו את חורי האבטחה האלו...
תנסה לבד:
http://ckeditor.com/demo

**IgalSt** · 18-06-11, 19:50

ציטוט:

נכתב במקור על ידי mrns

היום כל עורך טקסט מאובטח והם חסמו את חורי האבטחה האלו...
תנסה לבד:
http://ckeditor.com/demo

חור האבטחה לא נמצא בעורך עצמו, אלא בצד שרת שקולט את הפלט של העורך: מלכתחילה אתה מאפשר בשדה זה שיהיה קוד HTML וכתצואה מכך גם קוד JS.
אז נכון שאתה יכול לנסות לסנן החוצה תגיות <script>, אבל יש כ"כ הרבה אפשרויות לעקוף את זה.
כמה דוגמאות:

HTML קוד:

<script > // note the space before ">"
<scri<!---->pt>

~The_Sultan~ · 18-06-11, 22:29

ציטוט:

נכתב במקור על ידי IgalSt

חור האבטחה לא נמצא בעורך עצמו, אלא בצד שרת שקולט את הפלט של העורך: מלכתחילה אתה מאפשר בשדה זה שיהיה קוד HTML וכתצואה מכך גם קוד JS.
אז נכון שאתה יכול לנסות לסנן החוצה תגיות <script>, אבל יש כ"כ הרבה אפשרויות לעקוף את זה.
כמה דוגמאות:

HTML קוד:

<script > // note the space before ">"
<scri<!---->pt>

בשורה אחת:

PHP קוד:


			
preg_replace("/<.*script.*>/", "", $content);

בנוסף, ניתן לחסום פונקציות מסוימות כמו קוד מקור בעורך CKEDITOR בקלות, וזה יאבטח את האזור.

dor77 · 19-06-11, 02:36

אני מאבטח את המשתנה שמתקבל מהעורך עם mysql_real_escape_string ועם htmlspecialchars אז זה פותר את הבעיה לא?

17-06-11, 20:54	# 1
dor77 חבר וותיק מיני פרופיל תאריך הצטרפות: Jan 2008 הודעות: 1,650	עורך טקסט עשיר לאתר. שלום. אני רוצה לאפשר לגולשים לעצב את הטקסט שהם מכניסים לאתר, צבע, גודל, להוסיף תמונה וכ'ו. יש למישהו עורך כזה? ללא אפשרות להכניס html כמובן.. וגם איך מתקינים את זה? איך זה פועל? זה נכנס למסד וזהו? כשאני שולף את זה, זה בא מעוצב? אשמח לעזרה, לא התעסקתי עם זה עד היום. תודה. __________________ מתכנת php אמין ומקצועי. מחירים נוחים! יצירת קשר: 0544378743

17-06-11, 21:05	# 2
Shay Ben Moshe משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 1,397	בדוק את CKEditor וTinyMCE. עורכי טקסט WYSIWYG מצויינים. __________________ שי בן משה - בונה אתרים חותך אתרים, ומתכנת צד לקוח וצד שרת.

18-06-11, 02:51	# 3
dor77 חבר וותיק מיני פרופיל תאריך הצטרפות: Jan 2008 הודעות: 1,650	ואיך זה פועל? מה אני אמור לעשות עם העורך? איך אני מקבל את הנתונים? תודה. __________________ מתכנת php אמין ומקצועי. מחירים נוחים! יצירת קשר: 0544378743

18-06-11, 12:45	# 5
IgalSt מנהל פורום, עסק רשום מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: המרכז גיל: 38 הודעות: 1,432	חושב לזכור שאם מדובר בגולשים רגילים (ולא כאלה שבדקת ואתה וסמך עליהם כמו לדוגמה מנהלים), מדובר בפרצת אבטחה לא קטנה שתאפשר להם להזריק כל קוד HTML, JS או CSS שירצו לעמוד שאתה נותן לערוך בצורה כזאת. המשמעויות הן שאפשר בקלות לנתב גולשים מהעמוד הזה לאתר אחר במקרה הטוב, או במקרה הרע לגנוב עוגיות של משתמשים ולהתחזות להם לדוגמה. __________________ יגאל סטקלוב Igal Steklov Slides מה השעה? טרקלין דן טרמינל 1

18-06-11, 15:15	# 6
dor77 חבר וותיק מיני פרופיל תאריך הצטרפות: Jan 2008 הודעות: 1,650	אז איך בכל זאת אני יכול לאפשר לגולשים (שאני לא סומך עליהם) לעצב את התוכן מבלי להיות חשוף לפירצה? יש את זה בהרבה אתרים, בעיק ר אתרי מאמרים. תודה. __________________ מתכנת php אמין ומקצועי. מחירים נוחים! יצירת קשר: 0544378743


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

19-06-11, 02:36	# 10
dor77 חבר וותיק מיני פרופיל תאריך הצטרפות: Jan 2008 הודעות: 1,650	אני מאבטח את המשתנה שמתקבל מהעורך עם mysql_real_escape_string ועם htmlspecialchars אז זה פותר את הבעיה לא? __________________ מתכנת php אמין ומקצועי. מחירים נוחים! יצירת קשר: 0544378743

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)