Сообщение от sommer
|
Вопрос если в форме ввести текст с кодом и его же отобразить с помощью innerHTML - что такое страшное туда можно ввести? Желательно пример.
|
Я уже ответил:
Сообщение от B@rmaley.e><e
|
Отображать вводимый пользователем HTML вполне безопасно. Другое дело, когда злоумышленник имеет возможность сохранить HTML код (в теле сообщения, скажем) так, что его увидят другие пользователи, либо указать такой запрос, что код будет выполнен у другого пользователя автоматически (или по некоторому действию).
|
Сообщение от dmitriymar
|
увести данные сможет любой кто введёт скрипт код в сообщение.
|
Угу, только ввести этот код сможет только текущий юзер.
Сообщение от dmitriymar
|
учитывая что он смйлики и т.д хочет -эт чтото на манер форума-так что базы неизбежны по идее
|
Какая связь между смайликами и базой? Смайлики организуются простой заменой ключевых слов.