Citat:
Ursprungligen postat av CotopaXi
Det faktum att det går att göra blottar ett stort fel ur säkerhetssynpunkt på din sida. Du escapar inte HTML som användare har skrivit, utan tillåter html att körs. En illasinnad person skulle t.ex kunna skicka all trafik från din sida till sin egen, eller någon olämplig.
Läs på lite om XSS: http://en.wikipedia.org/wiki/Cross-site_scripting
Lita aldrig på en användare.
P.S Det faktum att ett sådant enkel säkerhetstänk saknas tyder också starkt på att kvalitén på koden i övrigt inte håller speciellt hög nivå. |
Ok håller med dig där. Men saken är ju den att det är ju inte tänkt att admin ska vara öppen för ALLA! Så dåligt vill jag inte påstå.
Det du talar om används mer till forum, gästböker m.f.l. Som alla kan gå skriva HTML på! Sen är de väl bra det du säger, men faktum är ju att bara ägaren till portalen ska ha egen kod till admin.
Tack för ditt inlägg iallafall!
Vill inte skapa tjaffs men vill inte heller att non ska skriva not onödigt som inte änns en sida behöver!
PS: Sidan är väl byggd i både kod och databas. Sidan har stora utvecklingsmöjligheter.
Mvh R