הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)
-   -   עורך טקסט עשיר לאתר. (https://hosts.co.il/forums/showthread.php?t=90244)

dor77 17-06-11 20:54
עורך טקסט עשיר לאתר.
 
שלום.
אני רוצה לאפשר לגולשים לעצב את הטקסט שהם מכניסים לאתר, צבע, גודל, להוסיף תמונה וכ'ו.
יש למישהו עורך כזה?
ללא אפשרות להכניס html כמובן..

וגם איך מתקינים את זה? איך זה פועל? זה נכנס למסד וזהו? כשאני שולף את זה, זה בא מעוצב?

אשמח לעזרה, לא התעסקתי עם זה עד היום.

תודה.

Shay Ben Moshe 17-06-11 21:05
בדוק את CKEditor וTinyMCE. עורכי טקסט WYSIWYG מצויינים.

dor77 18-06-11 02:51
ואיך זה פועל?
מה אני אמור לעשות עם העורך?

איך אני מקבל את הנתונים?

תודה.

mrns 18-06-11 03:45
ציטוט:
נכתב במקור על ידי dor77 (פרסם 808306)
ואיך זה פועל?
מה אני אמור לעשות עם העורך?

איך אני מקבל את הנתונים?

תודה.
אתה מעביר את התוכן ב POST למשתנה ומכניס את תוכן המשתנה למסד וכל בכל פעם שתרצה תוכל להדפיס אותו.

IgalSt 18-06-11 12:45
חושב לזכור שאם מדובר בגולשים רגילים (ולא כאלה שבדקת ואתה וסמך עליהם כמו לדוגמה מנהלים), מדובר בפרצת אבטחה לא קטנה שתאפשר להם להזריק כל קוד HTML, JS או CSS שירצו לעמוד שאתה נותן לערוך בצורה כזאת.
המשמעויות הן שאפשר בקלות לנתב גולשים מהעמוד הזה לאתר אחר במקרה הטוב, או במקרה הרע לגנוב עוגיות של משתמשים ולהתחזות להם לדוגמה.

dor77 18-06-11 15:15
אז איך בכל זאת אני יכול לאפשר לגולשים (שאני לא סומך עליהם) לעצב את התוכן מבלי להיות חשוף לפירצה?
יש את זה בהרבה אתרים, בעיק ר אתרי מאמרים.

תודה.

mrns 18-06-11 15:22
ציטוט:
נכתב במקור על ידי IgalSt (פרסם 808331)
חושב לזכור שאם מדובר בגולשים רגילים (ולא כאלה שבדקת ואתה וסמך עליהם כמו לדוגמה מנהלים), מדובר בפרצת אבטחה לא קטנה שתאפשר להם להזריק כל קוד HTML, JS או CSS שירצו לעמוד שאתה נותן לערוך בצורה כזאת.
המשמעויות הן שאפשר בקלות לנתב גולשים מהעמוד הזה לאתר אחר במקרה הטוב, או במקרה הרע לגנוב עוגיות של משתמשים ולהתחזות להם לדוגמה.
היום כל עורך טקסט מאובטח והם חסמו את חורי האבטחה האלו...
תנסה לבד:
http://ckeditor.com/demo

IgalSt 18-06-11 19:50
ציטוט:
נכתב במקור על ידי mrns (פרסם 808345)
היום כל עורך טקסט מאובטח והם חסמו את חורי האבטחה האלו...
תנסה לבד:
http://ckeditor.com/demo
חור האבטחה לא נמצא בעורך עצמו, אלא בצד שרת שקולט את הפלט של העורך: מלכתחילה אתה מאפשר בשדה זה שיהיה קוד HTML וכתצואה מכך גם קוד JS.
אז נכון שאתה יכול לנסות לסנן החוצה תגיות <script>, אבל יש כ"כ הרבה אפשרויות לעקוף את זה.
כמה דוגמאות:
HTML קוד:
<script > // note the space before ">"
<scri<!---->pt>

~The_Sultan~ 18-06-11 22:29
ציטוט:
נכתב במקור על ידי IgalSt (פרסם 808379)
חור האבטחה לא נמצא בעורך עצמו, אלא בצד שרת שקולט את הפלט של העורך: מלכתחילה אתה מאפשר בשדה זה שיהיה קוד HTML וכתצואה מכך גם קוד JS.
אז נכון שאתה יכול לנסות לסנן החוצה תגיות <script>, אבל יש כ"כ הרבה אפשרויות לעקוף את זה.
כמה דוגמאות:
HTML קוד:
<script > // note the space before ">"
<scri<!---->pt>
בשורה אחת:
PHP קוד:
preg_replace("/<.*script.*>/"""$content); 
בנוסף, ניתן לחסום פונקציות מסוימות כמו קוד מקור בעורך CKEDITOR בקלות, וזה יאבטח את האזור.

dor77 19-06-11 02:36
אני מאבטח את המשתנה שמתקבל מהעורך עם mysql_real_escape_string ועם htmlspecialchars אז זה פותר את הבעיה לא?

BlueNosE 19-06-11 03:27
ואז מה יצא מעורך טקסט עשיר?

דוגמא לפתרון ריאלי: http://pear.php.net/package/HTML_Safe

~The_Sultan~ 19-06-11 05:36
ציטוט:
נכתב במקור על ידי BlueNosE (פרסם 808414)
ואז מה יצא מעורך טקסט עשיר?

דוגמא לפתרון ריאלי: http://pear.php.net/package/HTML_Safe
מה זה?

dor77 19-06-11 10:14
אשמח להסבר גם כן..

BlueNosE 19-06-11 12:54
ציטוט:
This parser strips down all potentially dangerous content within HTML
אני חושב שזה דיי ברור.. ואם לא בא לך לעבוד עם PEAR אני בטוח שתמצא עוד הרבה כאלו ברשת.

~The_Sultan~ 19-06-11 13:40
מגניב :) עבדת עם זה בעבר? זה שימושי? אפשר לסמוך על זה?

BlueNosE 19-06-11 14:14
האמת שהגעתי לזה מגוגל. אבל זה חלק מPEAR, ככה שכן, זה נראה לי דיי אמין. תנסה ותבוא עם רשמים, נשמח לשמוע (:


כל הזמנים הם GMT +2. הזמן כעת הוא 16:11.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ