سلام خدمت دوستان
شاید سوالات زیاد به هم مربوط نباشند و شاید یه کوچولو تکراری ، سرچ زدم ولی چیزی پیدا نکردم

1- ورودی هایی که کاربر در ویرایشگر ها مینویسه و ارسال میشه هم از نظر صحت و امنیت باید چک بشن؟
2- اگر جواب سوال قبلی بله هست ، وقتی اون اطلاعات رو از تابع های مختلف رد میکنیم و کد میکنیم موقع نمایش چگونه از کد در بیاریم؟ ،چون برای من به صورت کد نمایش داده میشه
3- میگن برای پیدا کردن باگ و مشکلات امنیتی سایتتون از نرم افزار Acunetix استفاده کنید ، وقتی alert در سطح hight,medium ندارم یعنی سایت مشکل امنیتی نداره و خیالم راحت باشه؟
4- آیا session هارو هم میشه دور زد ؟ یا میشه کاملا به اونها اطمینان کرد؟


با تشکر از دوستان

1- بله باید چک بشه ، مخصوصا اگه از ویرایشگر استفاده میشه
2- متوجه نشدم
3- این برنامه بیشتر برای XSS هست فکر کنم ، پس فقط به همین مورد نباید بسنده کرد
4- اگه ضعیف کار شده باشه میشه دور زد

من کلیه اطلاعات ورودی خودم رو از تابع های زیر عبور میدم (از دوستان همین انجمن گرفتم)


$string = strip_tags($string);
$string = htmlspecialchars($string);
$string = trim($string);
$string = stripslashes($string);
$string = mysql_real_escape_string($string);

حالا وقتی از ویرایشگر tinymce استفاده میکنم و محتویات رو از توابع بالا رد میکنم و ذخیره میکنم موقع نمایش به شکل زیر نمایش میده


salam   test   ok


درصورتی که بین هر کلمه دوخط باید فاصله باشه

2- پس به چه شکل به کدهای خودم مطمئن شم
3- میشه بیشتر در مورد صعیف بودن توضیح بدید

برای استفاده از ویرایشگر پیشنهاد میدم از کلاس اماده ای که نوشته شده استفاده کنید : htmlpurifier.org
زمانی که کاربر مطالب رو ارسال میکنه اول بررسی میکنه :
get_magic_quotes_gpc اگه موجود بود استفاده از :
stripcslashes
بعدش
$purifier->purify();
در نهایت :
mysql_real_escape_string

خب اگه میشه دوتا سوال مونده رو هم جواب بدید دوستان...

من کلیه اطلاعات ورودی خودم رو از تابع های زیر عبور میدم (از دوستان همین انجمن گرفتم)


$string = htmlspecialchars($string);
حالا وقتی از ویرایشگر tinymce استفاده میکنم و محتویات رو از توابع بالا رد میکنم و ذخیره میکنم موقع نمایش به شکل زیر نمایش میده


salam   test   ok


درصورتی که بین هر کلمه دوخط باید فاصله باشه

2- پس به چه شکل به کدهای خودم مطمئن شم
3- میشه بیشتر در مورد صعیف بودن توضیح بدید


برای چاپ اطلاعاتی که از ویرایشگر میاد از این تابع استفاده کن که دیکد کنه اطلاعاتتو



html_entity_decode

جواب سوال سوم و چهارم شما

3 : خیالت میتونه از سایتت راحت باشه (البته اگر باگ نارنجی و قرمز نداشته باشی) بازم خیلی نکات امنیتی هست . خیر: ولی آیا خیالت از سرور و سایت هایی که بر روی اون هستند راحته ؟
4 : بله به راحتی . می تونه خودش دستی سیشنو بسازه و بفرسته. و به راحتی هم سیشن هایی که ذخیره شدن رو میتونه ببینه.