eifoerde Skrevet 18. februar 2008 Skrevet 18. februar 2008 (endret) Hei, driver å setter i sammen en gjestebok for bruk på siden min, og prøver å få denne mest mulig sikker mot sql injection og lignende tror jeg skal være greit sikret mot standard sql injection men lurer litt på en ting. Når en bruker skriver en kommentar i tekstfeltet så kan han legge inn standard html koder, som vises som f.eks en link når kommentaren vises på siden Er dette en sikkerhetsrisiko på noen måte bruker htmlspecialchars() før noe blir lagt til i databasen, og bruker html_entity_decode() for å vise innholdet slik som brukeren skrev det opprinnelig dere kan se hva jeg mener på: Min side Litt kronglete forklart egentlig, men spørr om dere stusser på noe Endret 18. februar 2008 av eifoerde
arthoz Skrevet 19. februar 2008 Skrevet 19. februar 2008 Tror ikke noe fint med </html> i comment etc, nei, fjern mulighet til å legge til html selv. Største problemet tror jeg however kommer med spammeboter, de finner seg alltid frem til guestbooks og flooder de ned med drit, noe simpel måte å stoppe disse på hadde vært fint
eifoerde Skrevet 19. februar 2008 Forfatter Skrevet 19. februar 2008 merket det at html i gjesteboken funket rimelig dårlig når folk begynte å knote med tables og større skrift, ødela oppsettet mitt.. Ja, spamboter kan være noe dritt, dukker opp overalt der du aldri kunne tro de fant deg. skal se om eg ikke kan få satt sammen noe kode for å luke ut boter.
arthoz Skrevet 19. februar 2008 Skrevet 19. februar 2008 Trengs ikke noe avansert, et lite bilde med hva folk skal skrive inn er nok i de fleste tilfeller for mindre sider, f.eks. finne et random captcha bilde og bare bruke det (istedet for å generere for hvert comment )
eifoerde Skrevet 19. februar 2008 Forfatter Skrevet 19. februar 2008 fant en fin liten kode som jeg skal få implementert seinere i dag, enkel å grei liten sak virker det som. mye å tenke på når man bare skal lage en liten side fra scratch hvor folk kan si hei på
avalandon Skrevet 19. februar 2008 Skrevet 19. februar 2008 Har du prøvd med funksjonen strip_tags? Men den kan du tillatte et begrenset sett med html-kode som f.eks. fet skrift og kursiv. Hvis du ønsker å la folk poste linker ville jeg heller hatt et eget felt for det hvor folk bare postet URL, for så selv å validere og generere linker av det, på samme måte som du har et eget felt for epost.
eifoerde Skrevet 19. februar 2008 Forfatter Skrevet 19. februar 2008 nei, spørsmålet mitt gjaldt egentlig bare om momenter som kan oppstå ved å tillate bruk av html i formen. Satt å tenkte på å tillate fet skrift og kursiv, bare på gøy egentlig men da ved bruk av bb coder. Men får se hvor langt jeg kommer. url'en er ikkje så nøye, ser ikkje noe poeng i at folk som poster der skal ha noen som helst grunn for å poste noen linker anyway.
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå