Có cần xử lý script comment trước khi lưu vào database

Thuc_Nguyen_tan · April 20, 2018, 6:47am

ACE cho mình hỏi có cần phải xử lý cái comment chứa tag script trước khi lưu vào database không? nếu không xử lý thì có tiềm ẩn nguy cơ gì?

hieudien · April 20, 2018, 6:20am

có vẻ liên quan đến cái này, bác có thể tham khảo thêm :

superthin · April 20, 2018, 10:12am

Sẽ không có chuyện gì xảy ra nếu website không sử dụng việc đăng nhập có sử dụng đến cookies, session. Còn nếu có sử dụng mấy cái đó, cách đơn giản nhất là dùng các thư viện strip html tag người ta viết sẵn để sử dụng, việc tự viết lấy khá khó khăn. Tìm kiếm với các từ Sanitize, Sanitation HTML Input để có thư viện được cài đặt với ngôn ngữ lập trình server side đang dùng.

Thuc_Nguyen_tan · April 21, 2018, 1:38am

hi, thank for SANITIZE key word, this is only my needing

Thuc_Nguyen_tan · April 21, 2018, 9:59am

Theo tui test thì trang daynhauhoc nhà ta có lưu <script> vào database nhưng khi view ra thì sanitize cái dữ liệu đó.

Bằng chứng là khi edit thấy vẫn còn dòng tag

Vậy câu trả lời là có thể lưu dữ liệu thô của user nhưng khi view ra phải cẩn thận, phải sử dụng sanitize…

any idea?