Forum PHP.pl > TinyMCE, a bezpieczeństwo skryptu

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: TinyMCE, a bezpieczeństwo skryptu

404

24.05.2012, 16:19:18

Witam.

Pomóżcie, bo już zaczynam świrować.

Dodajemy post do bloga. Tytuł wiadomości filtruję tak:

[PHP] pobierz, plaintext 
if(!isset($_POST['message_title']) || !validate(post('message_title'), '/^[a-zA-Z0-9\-\!]{1,64}$/'))
			$error_messages->append('...');
[PHP] pobierz, plaintext

Z tym nie ma większego problemu.

Do edycji samej wiadomości używam TinyMCE. Z tego co zdążyłem się zorientować to jeżeli w jej treści znajdzie się niestandardowy znak (np. < lub &) to TinyMCE zamienia go na jego "entity name". Sen mi z powiek spędza to, że do bazy lecą apostrofy. Używam oczywiście prepared statements, nie sklejam zapytań, ale jak widzę w bazie:

Kod

test016-desc
;
"
'
>
<
?
<script type="text/javascript">alert(1);</script>

...to niezbyt mi się to podoba.
Czy addslashes załatwi tutaj sprawę?

Zastanawiam się co zrobić kiedy ktoś wyłączy obsługę JS.

Proszę o jakieś wskazówki.

!*!

25.05.2012, 11:05:03

A co Ci się w tym nie podoba konkretniej? Jak używasz bindowania PDO to nie martwiłbym się co leci do bazy i czy jest to czymś przefiltrowane czy nie (w sensie encji itp.) Jak ktoś wyłączy obsługę JS, to powinno pokazać się pole textarea.

404

25.05.2012, 14:29:11

Cytat(!*! @ 25.05.2012, 12:05:03 )

Jak ktoś wyłączy obsługę JS, to powinno pokazać się pole textarea.

Ok, ale jeżeli używam TinyMCE to dane do bazy nie mogę być zformatowane np. za pomocą htmlentities. Ewentualnie addslashes. W związku z tym, w momencie kiedy ktoś wyłączy TinyMCE to nie będzie żadnego zabezpiecznia przed np. XSS, a zabezpieczenia tego nie jest wcale takie banalne jak mogłoby się wydawać. Oczywiście jest to do zrobienia, ale wymaga sporej ilości kodu (z tego co udało mi się dowiedzieć).

!*!

25.05.2012, 14:56:12

Cytat

Ok, ale jeżeli używam TinyMCE to dane do bazy nie mogę być zformatowane np. za pomocą htmlentities.

Nie rozumiem Cie. Dlaczego nie mogą? TinyMCE to tylko nakładka na textarea, bo to z niego wysyłasz dane do PHP i tam je sobie obrabiasz jak chcesz, co ma w ogóle do tego brak obsługi JS? Wywal wszytko prócz html używając strip_tags() i po problemie.

404

25.05.2012, 16:59:41

Problem w tym, że to nie wystarczy

Dla przykładu:

Kod

tekst

TinyMCE sobie z tym poradzi, bo usunie atrybut style (jeżeli wprowadzimy go np. poprzez okienko HTML) - sprawdzałem. strip_tags to zostawi i XSS gotowy

Dlatego mówię, że takie proste filtrowanie tutaj nie wystarczy.

viking

25.05.2012, 17:27:31

http://htmlpurifier.org/ jest twoim rozwiązaniem.

!*!

25.05.2012, 17:39:17

Cytat(404 @ 25.05.2012, 17:59:41 )

Kod

tekst

TinyMCE sobie z tym poradzi, bo usunie atrybut style (jeżeli wprowadzimy go np. poprzez okienko HTML) - sprawdzałem. strip_tags to zostawi i XSS gotowy

Dlatego mówię, że takie proste filtrowanie tutaj nie wystarczy.

Nie wiem jak Ty chcesz robić XSS przez url w style od bg, ale niech będzie

przejrzałeś dokładnie stronę z tym znacznikiem? Jest tam kilka funkcji które dokładnie usuwają to o czym piszesz.

viking

25.05.2012, 18:32:05

!*!: http://ajaxian.com/archives/xsstc-cross-si...hrough-css-data

404

29.05.2012, 18:35:53

Dziękuję wszystkim za odpowiedzi

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.