Запрет ввода script тега и его содержимого пользователем в contenteditable

В общем, передо мной стоит задача:
В целях обеспечения безопасности запретить ввод, либо удалять из текста теги script и все его содержимое перед сохранением в бд.
В приоритете, конечно же, именно запрет на ввод данной конструкции.
В моей голове есть только варик с выдиранием и то не полным (т.е. только сами теги).
Что посоветуете студенту 4 курса, у которого никогда в колледже не было пар по web-программированию?
Заранее спасибо всем откликнувшимся. Очень выручаете.

З.Ы.:
Если кому-то нужен пример конструкции поля ввода, то вот:
Добавлено через 2 часа 45 минут
UPD: и снова я поспешил с созданием темы (но, может кому пригодится из новичков).
Нашел решение на stackoverflow.

0

Сообщение от NightWolfPS снова я поспешил с созданием темы (но, может кому пригодится из новичков).

Могу расстроить, ты опять поспешил
Прежде чем продолжишь искать решение, ответь на вопрос - Зачем удалять теги скрипт? Например, если б данный форум так поступал, то ты бы не смог нормально задать этот вопрос. Надо вставить строку в html - есть шаблонизаторы, ну или на крайний случай <?= htmlentities($raw_string, ENT_COMPAT , 'UTF-8') ?>. Если уж и удалять что-то, то делать это нормально, обрабатывать этот фрагмент не как строку, не костылить текущее "решение", загоняя его в цикл, а работать с html документом. Ведь помимо несчастного <script> можно, например, просто верстку сломать, добавив некорректный html. И скорее всего уже есть всякие готовые htmlpurifierы, которые возможно и делают что нужно.

0

Jewbacabra, Увы, но это я тебя расстрою. Возможно, это и костыль, но как временная заплатка против XSS самое то. Прикол не в устранении script из самого документа, а в предотвращении нежелательного внедрения вредоносного кода пользователем. Теперь понятней? И в цикл ничего загонять не нужно.
И поломанная верстка, поверь, это полбеды в сравнении с утечкой личных данных пользователей.

0

PS. И тег скрипт - не единственный способ добавить js код. Еще можно придумать всякие штуки типа <img src="http://bar.url" onerror="alert('hacked')". Возможно есть и еще варианты.

Добавлено через 2 минуты

Сообщение от NightWolfPS Увы, но это я тебя расстрою

Нет, это я тебя расстрою. Никакая это не заплатка, это самый обычный говнокод. И никому из новичков ни в коем случае нельзя его использовать.

Сообщение от NightWolfPS Прикол не в устранении script из самого документа, а в предотвращении нежелательного внедрения вредоносного кода пользователем. Теперь понятней?

Я продемонстрировал простой пример как твою "защиту" обойти и предложил действительно хорошее решение, подходящее в большинстве случаев.

0

В итоге и я расстроился.

Сообщение от NightWolfPS $filtered_var = preg_replace('#<script(.*?)>(.*?)</script>#is', '', $var);

Добавлено через 9 минут

Сообщение от Jewbacabra можно, например, просто верстку сломать, добавив некорректный html.

Точнее, некорректный XML.
Я обычно для избежания этого проверяю корректность XML перед тем, как что-то дальше делать с поступившими данными.

Сообщение от NightWolfPS В целях обеспечения безопасности

следует (см. выше). Кроме того, следует пропускать только строго разрешенные, заведомо безопасные последовательности символов/строк. Остальное, по-моему, от лукаваго.

0

Сообщение от Htext Точнее, некорректный XML.

html. Например, вот абсолютно корректный html <div><p>I am correct html</div>, но с точки зрения xml это неверно.

Сообщение от Htext Кроме того, следует пропускать только строго разрешенные, заведомо безопасные последовательности символов/строк. Остальное, по-моему, от лукаваго.

Строка <script>/* ... */</script> безопасна? На мой взгляд да, и мне бы не понравилось, если б форум решил иначе и вырезал её. 95% случаев решаются так

Сообщение от Jewbacabra <?= htmlentities($raw_string, ENT_QUOTES, 'UTF-8') ?>

Или что лучше - шаблонизатором, который это сам сделает

Добавлено через 10 минут
Не ENT_COMPAT , а ENT_QUOTES естественно, в сообщении выше поменять уже не могу

0

Сообщение от Jewbacabra абсолютно корректный html <div><p>I am correct html</div>

Ну, вот такое лучше бы не пропускать. Или уж принудительно закрывать </p> хотя бы. На мой взгляд, эти нововведения от html5 до добра не доведут.
А если еще встретится что-то типа
&&lt; - то уже на стороне РНР может быть проблема.

Сообщение от Jewbacabra Строка <script>/* ... */</script> безопасна?

Сомневаюсь. А если нечто типа
Самое безопасное - это строго оговоренный белый список.

Добавлено через 3 минуты

Сообщение от Jewbacabra htmlentities

Помимо этого, я, на всякий случай, еще preg_replace И ВДОБАВОК ereg_replace использую. 3 этапа. Для подстраховки. Если вдруг в одной из функций уязвимость обнаружится.

Добавлено через 1 минуту
А где-то ВДОБАВОК к этому - еще и str_replace (для подстраховки htmlentities).

0

Сообщение от Htext А где-то ВДОБАВОК к этому - еще и str_replace (для подстраховки htmlentities).

Не надо никаких подстраховок. htmlentities как раз и превращает сырые данные в строку. Нет вообще никаких "опасных" строк.

Сообщение от Htext <script>/* ...*/alert('hacked');/*... */</script>

Ты же ее написал, и с форумом ничего не случилось 100% безопасно.

Сообщение от Htext На мой взгляд, эти нововведения от html5 до добра не доведут.

По-моему это и до html 5 было. Но это далеко не единственное, что еще отличает от xml

Добавлено через 2 минуты
Хорошо <script>alert("Hacked")</script>

PS

Сообщение от Htext ereg_replace

Лучше php обновить

Добавлено через 1 час 6 минут
PPS. Стоит еще добавить про валидацию данных. Валидация никак не связана с подстановкой данных. Сама по себе валидация нужна, чтобы запросы с заведомо некорректными данными заворачивать, но провалидированные данные не значит, что это данные, готовые к подстановке, поэтому их тоже нужно экранировать.

И про некоторые 5% случаев тоже стоит сказать, а именно подстановка аттрибутов. Если коротко - не подставляйте аттрибуты

Сообщение от Jewbacabra <img src="http://bar.url" onerror="alert('hacked')"

Пока все хорошо, htmlentities выполняет свою работу - делает строки. Но если вдруг зачем-то мне захочется сделать такую гадость
то значение аттрибута это и так строка, и хоть что угодно делай, все равно не поможет. Но представить тяжело, что такое вообще потребуется.
Теперь более реалистичный сценарий - подстановка href. Тут проблема в том, что не только ссылка может начинаться наdata: или javascript:, но и вполне приличная с виду ссылка, например https://nesberbank.ru, которая ведёт на фишинговый сайт. В некоторых случаях можно будет делать, например, так <a href="https://www.cyberforum.ru/php-beginners//<?= htmlentities(...) ?>"> (offtop: тут форум коверкал ссылку, какая ирония, пришлось снять выделение), т.е используя префикс, тем самым избегать javascript: или внешних ссылок. Если ссылка должна быть внешней, то parse_url поможет с валидацией. Но если эта ссылка от непроверенного пользователя, и нет никаких ограничений по возможным доменам, то только проверка человеком, или возможно есть какие сервисы для этого. Поэтому возможно стоит отказаться от ссылок "куда угодно от кого угодно". Наличие ссылок на вредоносные сайта конечно не уязвимость, но все равно не приятно.

0