Меню
Что нового?

Нужен парсер

pasifus

Новичок
Здравствуйте.
Возможно это прозвучит тривиально и давно заезжeная тема, но я ни как ни могу найти что то по душе. Нужен парсер что бы с ним в последствии можно было работать(не слишком наворочиный функционалом ну и понятный код для понятие). Функционал простой:
получаем текст от пользователя и его надо проверить и отфильтровать от не нужных данных. также замена bbcode (если можно), проверка html на правильность (только на разрешенные теги: a img b i ). надежная защита от всевозможных xss injection ну и похожей буйды.

пробовал разные, но все как то не то. если что сильно не пинать :)
 
zerkms

zerkms

TDD infected
Команда форума
pasifus
надежная защита от всевозможных xss injection ну и похожей буйды.
Нажмите для раскрытия...
Ты получаешь или хороший инструмент, который ты пока ещё понять не можешь, или простой инструмент, который понятен тебе, но потенциально который работает плохо (небезопасно, ненадёжно).

И круто и понятно - в одном лице не получится.
 

pasifus

Новичок
ну а что то среднее? что можно понять и доработать.
zerkms написал(а):
pasifus

Ты получаешь или хороший инструмент, который ты пока ещё понять не можешь, или простой инструмент, который понятен тебе, но потенциально который работает плохо (небезопасно, ненадёжно).

И круто и понятно - в одном лице не получится.
Нажмите для раскрытия...
в общем ты прав. ну а что то среднее? что можно понять и доработать.

кстати какие tools есть для проверки от xss injection (что бы база уже была собрана)?
 
Redjik

Redjik

Джедай-мастер
я видел, что он к yii из коробки прикручен, но не задумывался даже, что он настолько крут =)
хотя там вроде в основном пляски вокруг htmlspecialchars
Absinthe написал(а):
Потому что сложная. По другому - никак.

Какая база? Ты о чем?
Нажмите для раскрытия...
я себе представил starcraft сразу
 
Absinthe

Absinthe

жожо
pasifus и что ты с ними будешь делать? Солить? Разговаривать вечерами с бутылкой водки?

Если правильно очистишь HTML - то уязвимостей не будет.
 

pasifus

Новичок
Absinthe написал(а):
pasifus и что ты с ними будешь делать? Солить? Разговаривать вечерами с бутылкой водки?

Если правильно очистишь HTML - то уязвимостей не будет.
Нажмите для раскрытия...
ну так для этого и надо. проверка надежности парсера/фильтра текста. а как по твоему еще можно проверить на скрипт на надежность? вбивать всевозможные варианты руками это же не выход. да и нет гарантии что не упустил какую нибуть классическую инъекцию.
понятно что от 100% инъекций не спасешься, но хотя бы знать, что парсера/фильтра надежен от кластических инъекциях
 
флоппик

флоппик

promotor fidei
Команда форума
Партнер клуба
pasifus написал(а):
ну так для этого и надо. проверка надежности парсера/фильтра текста. а как по твоему еще можно проверить на скрипт на надежность? вбивать всевозможные варианты руками это же не выход. да и нет гарантии что не упустил какую нибуть классическую инъекцию.
понятно что от 100% инъекций не спасешься, но хотя бы знать, что парсера/фильтра надежен от кластических инъекциях
Нажмите для раскрытия...
это в принципе тупиковое решение. Решать надо не затыканием дырок, а контролем вывода.
 

pasifus

Новичок
флоппик написал(а):
это в принципе тупиковое решение. Решать надо не затыканием дырок, а контролем вывода.
Нажмите для раскрытия...
да я в общем и не спорю с этим утверждением. но как это утверждение относится к инструменту которое позволяет в автомомном/полуавторомном режиме проверить код.
 
Войдите или зарегистрируйтесь для ответа.
Сверху