Я собираюсь создать небольшую систему блога для внедрения на наши сайты клиентов. Я создал простой текстовый редактор wysiwyg, и все работает отлично (почти ...), но я храню записи в блогах в базе данных. Проблема в том, что мне не нужен вредоносный скрипт. Кроме того, если я уйду из строки, теги HTML не смогут отформатировать текст на выходе (если я ничего не знаю).Безопасно ли размещать незащищенную форму на защищенной паролем странице?
Тем не менее, только люди со счетами смогут создавать записи в блогах на своем веб-сайте (владельцы малого бизнеса). Итак, если для доступа к текстовому редактору необходим пароль, нужно ли мне его защитить? Нужен ли мне очиститель HTML или что-то еще? Неужели я просто ошибаюсь?
Да, конечно, вам нужно что-то вроде очистителя html ... Логин не предотвращает вредоносные скрипты, которые препятствуют доступу к ресурсам. – PeeHaa
Но может ли хакер отправить вредоносный код, даже если у него нет доступа к редактору? –
Кто сказал, что у вас нет злонамеренных пользователей с логином. Не говоря уже о том, что не злонамеренные пользователи нарушают сайт случайно. – PeeHaa