Tinymce и Sql Injection

  • Автор темы Sarabanda
  • Дата начала
S

Sarabanda

#1
Всем привет! У меня вопрос такого характера.

Есть TinyMCE редактор, который создает текст включая ХТМЛ теги.
Ну и потом мы этот текст напичканый тегами передаем в форму.

На сколько мне изестно про SQL Injection, а известно очень мало, -- нежелательно передавать
теги в базу с открытой страницы.

Скажите, действительно ли это уезвимое место ?

Спасибо!
 

1ive

Well-known member
12.09.2010
621
1
#2
Достаточно фильтровать только входящие данные, вводимые неадмином. ($_get; $-post; разного рода input'ы)

TinyMCE имеет свою собственную систему фильтрации и защиты от подобного рода атак.
Если любой пользователь имеет доступ к TinyMCE, в доках можно найти информацию о разрешении и запрете определенных тегов и атрибутов
 

vital

Больной Компом Детектед
29.01.2006
2 432
33
#3
а при вставке в базу mysql_real_escape_string() как бы от этого защитит. 100%.
 

acorn

PHP Developer
29.08.2004
585
3
#4
Вроде бы TinyMCE не рекомендуется ставить на "общедоступные" страницы.. да и чаще всего в этом и смысла нету.