Меню
Что нового?

Как удалить PHP код из HTML+PHP текста при этом оставить HTML?

nerezus

Вселенский отказник
Статистика показывает что большенство взломов как правило совершаются своими же сотрудниками (либо бывшими).
Нажмите для раскрытия...
Дадада, а я папа римский. Статистики по данному поводу просто быть не может.
 

MadGreen

meninweb
бред какой-то. если есть опасность "взлома" людьми со стороны, то на кой фиг их вообще допускать к правке шаблона?
и более того, что такого нереально опасного может сделать шаблонизатор? или речь идет о самом пыхе в качестве шаблонизатора?
 

Anarki

Новичок
Что-что. Базы может утянуть, затроянить систему, да что угодно, если хватит прав.
 

nerezus

Вселенский отказник
MadGreen
я, к примеру, юзаю PHP. Это пример такого шаблонизатора.
 

MadGreen

meninweb
nerezus, тогда мой вопрос остается открытым: поскольку топикстартер выделяет понятие "шаблонизатор" и допускает правку сторонними пользователями, значит все-таки предполагается система парсинга шаблонов а не голое смешение кода и отображения. Отсюда и вопрос: чего это за шаблонизатор и нафига он такой нужен (если может выполнить любой запрос к бд, например)?
 

dimagolov

Новичок
MadGreen
опять приходится додумывать, но видимо вопрос в том, чтобы вставлять чужой html код к себе на сайт и при этом не вставить чего-нибудь нехорошего. отсюда и изначальный вопрос "как проверить html код полученный со стороны на наличие уязвимостей для сайта перед его выкладыванием". то что пошло дальше про шаблонизатор чистой воды паранойя.

не знаю как часто и много автору придётся получать чужой код, но ради безопасности я бы сам руками бы просматривал чужеродный контент хотя бы поиском тегов "<?" и именно ручной проверкой что же там дальше в нем.
 

MadGreen

meninweb
ну так а кто заставляет сторонний код выполнять? почему нельзя вывести его тупо в браузер раз уж так хочется хтмл из него посмотреть?
 

dimagolov

Новичок
Wicked
html/js код может быть опасным для сервера? пока не могу сообразить каким образом, сервер то его не исполняет.
 

MadGreen

meninweb
dimagolov, ну фактически можно сформировать на, скажем, авторизованном клиенте запрос серверу...
 

dimagolov

Новичок
MadGreen, можно. но для этого надо иметь знания о принимаемых сервером запросах как минимум. при этом по логике не получится сделать ничего такого, что не мог бы сделать авторизированный клиент. Если этим клиентом не будет суперпользователь то скорее всего ничего особо криминального он не сделает и атака будет скорее направлена против клиента, а не против сервера.
 

MadGreen

meninweb
dimagolov, да я и не спорю что паранойя...
к тому же способ решения в ветке топикстартеру уже дали минимум дважды...
 
Войдите или зарегистрируйтесь для ответа.
Сверху