Tinymce и Sql Injection

Тема в разделе "PHP программирование", создана пользователем Sarabanda, 19 янв 2011.

  1. Sarabanda

    Sarabanda Гость

    Всем привет! У меня вопрос такого характера.

    Есть TinyMCE редактор, который создает текст включая ХТМЛ теги.
    Ну и потом мы этот текст напичканый тегами передаем в форму.

    На сколько мне изестно про SQL Injection, а известно очень мало, -- нежелательно передавать
    теги в базу с открытой страницы.

    Скажите, действительно ли это уезвимое место ?

    Спасибо!
     
  2. 1ive

    1ive Well-Known Member
    Web Team

    Регистрация:
    12 сен 2010
    Сообщения:
    694
    Симпатии:
    0
    Достаточно фильтровать только входящие данные, вводимые неадмином. ($_get; $-post; разного рода input'ы)

    TinyMCE имеет свою собственную систему фильтрации и защиты от подобного рода атак.
    Если любой пользователь имеет доступ к TinyMCE, в доках можно найти информацию о разрешении и запрете определенных тегов и атрибутов
     
  3. vital

    vital Больной Компом Детектед
    Команда форума Web Team

    Регистрация:
    29 янв 2006
    Сообщения:
    2.474
    Симпатии:
    27
    а при вставке в базу mysql_real_escape_string() как бы от этого защитит. 100%.
     
  4. acorn

    acorn PHP Developer

    Регистрация:
    29 авг 2004
    Сообщения:
    599
    Симпатии:
    3
    Вроде бы TinyMCE не рекомендуется ставить на "общедоступные" страницы.. да и чаще всего в этом и смысла нету.
     
Загрузка...
Похожие Темы - Tinymce Sql Injection
  1. RixPvl
    Ответов:
    0
    Просмотров:
    1.856
  2. mrtg
    Ответов:
    1
    Просмотров:
    74
  3. mrtg
    Ответов:
    14
    Просмотров:
    229
  4. Allegro
    Ответов:
    3
    Просмотров:
    121
  5. rhino101
    Ответов:
    0
    Просмотров:
    353

Поделиться этой страницей