0
私はクライアントのウェブサイトに実装するための小さなブログシステムを構築中です。私は単純なwysiwygテキストエディタを構築し、すべて正常に動作します(ほとんど...)が、私はデータベースにブログの投稿を格納します。問題は、悪質なスクリプトがそこに侵入したくないということです。また、文字列をエスケープすると、HTMLタグは出力にテキストを書式設定することができません(何かを認識していない限り)。パスワードで保護されたページの中に保護されていないフォームを置くことは安全ですか?
ただし、アカウントを持っている人だけが自分のウェブサイト(中小企業のオーナー)にブログ投稿を作成することができます。したがって、テキストエディタにアクセスするためにパスワードが必要な場合は、それを保護する必要がありますか? HTML Purifierなどが必要ですか?私はそれをやって間違った道を歩いていますか?
もちろん、html浄水器のようなものが必要です...ログインは悪意のあるスクリプトを防ぎませんので、リソースへのアクセスを妨げません。 – PeeHaa
しかし、エディタにアクセスできない場合でも、ハッカーは悪質なコードを送信できますか? –
悪意のあるユーザーにログインしていないという人は誰ですか?偶然にサイトを壊している悪意のあるユーザーではありません。 – PeeHaa