Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Webprogrammeren & scripting

TinyMCE, is beveiliging tegen sql-injecties nog nodig?

s.Mighty
3 antwoorden
  • Ik wil een systeem in de website waar ik nu mee bezig ben integreren waarmee opmaak e.d. zo makkelijk mogelijk kunnen worden toegepast. Mijn oog viel daarom op TinyMCE gezien dit een van de beste gratis wysiwyg's is. Mijn vraag was echter, hoef ik dan niet meer gebruik te maken van filters als addslashes() of htmlentities na de postback, om sql-injecties e.d. tegen te gaan? Waar moet ik wel op letten om dit systeem veilig te maken?

    Wat ik me namelijk voor zou kunnen stellen is dat hackers via een javascriptje toch nog alles kunnen toevoegen aan de textarea wat ze willen toch?
    Bijvoorbeeld door in de url te typen:
    [code:1:3e652e185d]
    javascript:document.forms['form1'].textarea.value+='<input type='button' value='gehacked!!' />'[/code:1:3e652e185d]
    is dat een realistische gedachtegang?

    Stel dat ik er toch voor kies simpele textareas te houden met BBcode, hoe kan ik dan het beste sql-injecties en andere hackingattempts tegen gaan?

    Alvast bedankt weer!
  • Als je het admin gedeelte goed afschermt, is er niks aan de hand ;). Je kan natuurlijk met bb-code gaan werken, alleen dat kan erg omslachtig worden, als je daar ook speciale klassen aan toe wil kennen ;).

    ik gebruik ook tinymce, ik scherm mijn ADMIN CP af, en dan maak ik me niet zoveel zorgen, ik maak wel elke week een sql-dump(back-up).
  • [quote:a2e4d03f46="s.Mighty"]Als je het admin gedeelte goed afschermt, is er niks aan de hand ;). Je kan natuurlijk met bb-code gaan werken, alleen dat kan erg omslachtig worden, als je daar ook speciale klassen aan toe wil kennen ;).

    ik gebruik ook tinymce, ik scherm mijn ADMIN CP af, en dan maak ik me niet zoveel zorgen, ik maak wel elke week een sql-dump(back-up).[/quote:a2e4d03f46]
    Het geval is dus dat ik een website aan het maken ben voor iemand die geen verstand heeft van html en die gewoon makkelijk met het systeem wil kunnen werken. Vandaar dat ik liever van de bbcode afzie, omdat het inderdaad te omslachtig kan worden en ook waarschijnlijk te onhandig in het gebruik is bij schrijven van lange teksten. Maar wat ik me dus afvraag is, als de gebruiker dus per ongeluk tekens gaat gebruiken als <? of ", zorgt tinymce er dan automatisch voor dat deze veilig worden gesteld in de postback of bij het inserten in de database?

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.