[分享] 昨天的面试问题让我感到很疑惑， 4/3/2011 我换工作的决定越来越强烈！！

46 主题	6 好友	6456 积分

Rank: 13

发消息

41^#

发表于 2011-1-18 06:11 PM |只看该作者

本帖最后由宅男-兜着走于 2011-1-18 06:14 PM 编辑

回复 40# weeming21

我自己 -.-|||
因为我看你玩，我也玩。

只是调用了 jquery plugin

weeming21

6 主题	0 好友	397 积分

超级会员

Rank: 5 Rank: 5 Rank: 5 Rank: 5 Rank: 5

发消息

42^#

发表于 2011-1-18 06:14 PM |只看该作者

回复 weeming21

我自己 -.-|||
因为我看你玩，我也玩。
宅男-兜着走发表于 2011-1-18 06:11 PM

原来原来，哈哈

7 主题	1 好友	5108 积分

Rank: 12

发消息

43^#

发表于 2011-1-18 08:17 PM |只看该作者

是不是有問題啊，我無法 post 成功，修改也一样

46 主题	6 好友	6456 积分

Rank: 13

发消息

44^#

发表于 2011-1-18 09:29 PM |只看该作者

回复 43# Super-Tomato

刚才 weeming 来 key script 进我的 db，为了防止我做了点修改 ==
然后忘记调用 save
修好了。

7 主题	1 好友	5108 积分

Rank: 12

发消息

45^#

发表于 2011-1-18 09:37 PM |只看该作者

回复 Super-Tomato

刚才 weeming 来 key script 进我的 db，为了防止我做了点修改 ==
然 ...
宅男-兜着走发表于 2011-1-18 09:29 PM

測試可以，但 WYSIWYG 的功能則被過滤掉了

46 主题	6 好友	6456 积分

Rank: 13

发消息

46^#

发表于 2011-1-18 09:38 PM |只看该作者

回复 45# Super-Tomato

对hor，怎么没想到，我看到facebook的可以把 < > 变成 < >

怎么办到的？？

7 主题	1 好友	5108 积分

Rank: 12

发消息

47^#

发表于 2011-1-18 09:44 PM |只看该作者

回复 Super-Tomato

对hor，怎么没想到，我看到facebook的可以把 < > 变成 < >

怎么办到的？？ ...
宅男-兜着走发表于 2011-1-18 09:38 PM

facebook 是不能使用 html，所以直接用 htmlentities 或 htmlspecialchars。如果你要用 strip_tags 的話可以使用第二参數保留某些 html 標簽

46 主题	6 好友	6456 积分

Rank: 13

发消息

48^#

发表于 2011-1-18 10:19 PM |只看该作者

回复 47# Super-Tomato

OK, Remove script 我是大概知道怎么做了，

但是人家 key HTML tag 下去我无法判断那一个是 wysiwyg 生成的。

极限了 ==

无法做到像 JBt 这样的 HTML Editor

7 主题	1 好友	5108 积分

Rank: 12

发消息

49^#

发表于 2011-1-18 10:34 PM |只看该作者

回复 Super-Tomato

OK, Remove script 我是大概知道怎么做了，

但是人家 key HTML tag 下去我无法 ...
宅男-兜着走发表于 2011-1-18 10:19 PM

你也不用去分哪些是使用者輸入的啊，直接過滤掉你所不允许的 tags 就可以了

weeming21

6 主题	0 好友	397 积分

超级会员

Rank: 5 Rank: 5 Rank: 5 Rank: 5 Rank: 5

发消息

50^#

发表于 2011-1-18 10:53 PM |只看该作者

最好是只允许某些Tag，可执行xss的Script太多了
<img src="javascript:alert('hello');">
<img src="java script:alert('hello');">
<img src="java&#X0A;script:alert('hello');">
这样也可以xss...
其实如果你的是要login才可以发帖的话，是安全的，那些留言可以完全htmlspecialchars过滤