ACE cho mình hỏi có cần phải xử lý cái comment chứa tag script trước khi lưu vào database không? nếu không xử lý thì có tiềm ẩn nguy cơ gì?
Có cần xử lý script comment trước khi lưu vào database
có vẻ liên quan đến cái này, bác có thể tham khảo thêm :
Sẽ không có chuyện gì xảy ra nếu website không sử dụng việc đăng nhập có sử dụng đến cookies, session. Còn nếu có sử dụng mấy cái đó, cách đơn giản nhất là dùng các thư viện strip html tag người ta viết sẵn để sử dụng, việc tự viết lấy khá khó khăn. Tìm kiếm với các từ Sanitize, Sanitation HTML Input để có thư viện được cài đặt với ngôn ngữ lập trình server side đang dùng.
hi, thank for SANITIZE key word, this is only my needing
Theo tui test thì trang daynhauhoc nhà ta có lưu <script>
vào database nhưng khi view ra thì sanitize cái dữ liệu đó.
Bằng chứng là khi edit thấy vẫn còn dòng tag
Vậy câu trả lời là có thể lưu dữ liệu thô của user nhưng khi view ra phải cẩn thận, phải sử dụng sanitize…
any idea?