0
オンラインでHTMLコードを編集、作成、保存、アクセス、デバッグできるWebページがあります。セキュリティパースペクティブの場合、私はすでにサンドボックス化されたiframeを使用してユーザのコンテンツを表示していますが、もう1つのことがあります。ユーザーが作成したコードにphpタグが含まれているとSQLクエリを作成し、すべてのデータベースを読み取り/削除するか、有害な何かを実行しますか?ユーザが作成したコードからphplタグを取り除く
可能ですか?はいの場合 - どのように私はこのタイプの攻撃に対して自分自身を守ることができますか?私はphpが特定のタグを持つすべてのタグを取り除くオプションを持っていることを知っているので、すべてのPHPタグを取り除くことができますが、ユーザーはPHPのtagなどのdocument.write()そんな?
は、PHPタグ(<?php ?>)はHTMLタグ(<html><strong>など)ではありません。事前
それはルール#1です:常にユーザー入力を検証します。あなたは疑わしいコードを防ぐために '<?'と '<?php'タグのために送られたコードを確認しなければなりません。 – Core972
私は同意しますが、もし彼らがdocument.write( "")のようなことをすればどうしますか? – Mapenter