[分享] 昨天的面试问题让我感到很疑惑， 4/3/2011 我换工作的决定越来越强烈！！

Super-Tomato

回复  Super-Tomato

我不知道怎么说， 你试试看 写 <h1> some text </h1> post 出去,  post 回来后放回 ...
宅男-兜着走 发表于 2011-1-21 05:39 PM

不明白這個是不是你所指的??
演示

宅男-兜着走

不明白這個是不是你所指的??
Super-Tomato 发表于 2011-1-22 12:15 AM

不是。

1. 
   
2.     <textarea name="ckEditor" rows="8" cols="60">
   
3.         <?php echo "&lt;h1&gt;hello world&lt;/h1&gt;" ?>
   
4.     </textarea>
   
5. 
   
6. <script type="text/javascript" src="path to ck editor js/ckeditor.js"></script>
   
7.     <script type="text/javascript">//<![CDATA[
   
8.     CKEDITOR.replace('ckEditor');
   
9.     //]]></script>
   

复制代码

然后你会看到的Output 是。
hello world而不是
<h1>hello world</h1>

~Zero

不是很明白你们在讨论什么 ==

如果在 source 里面是 <h1>text</h1>，output 就是 text。
如果在 source 里面是 &ly;h1&gt;text&lt;/h1&gt;，output 就是 <h1>text</h1>

宅男-兜着走

不是很明白你们在讨论什么 ==

如果在 source 里面是 text，output 就是 text。
如果在 source 里面是 & ...
~Zero 发表于 2011-1-22 01:27 AM

    如果是要从 资料库里面提出来 修改的话，是不是要在 textarea 里面输出你要改的文章先嘛？
    但是很神奇的是， 他竟然把 &lt; &gt; 变成html tag 了。。。
   
    就是说， 如果使用者 输入 <   OK, CKEditor 会把它变成 &lt;  然后存入database， 这个很好。
    但是如果是要 update 文章的话。
   
    CKEditor 把 &lt; 变成 html 的 < 了。

Super-Tomato

不是。



然后你会看到的Output 是。
hello world而不是
hello world
宅男-兜着走 发表于 2011-1-22 01:03 AM

你要表達的是代码部份的内容就不要使用 html 吧?
jbtalks 内的 WYSISYG 编辑器中的代码表達是使用[ code][ /code]，所以在 [ code][ /code]内的才進行 html 過滤

weeming21

如果是要从 资料库里面提出来 修改的话，是不是要在 textarea 里面输出你要改的文章先嘛？
     ...
宅男-兜着走 发表于 2011-1-22 01:51 AM

其实这样的逻辑是没有错
当第一次用户输入<>，储存的时候进行转义
当要修改的时候在ckeditor里还原成源文，储存的时候又再进行转义，首页的输出不还原为原文就ok了
（如果不还原的话，某些符合会出现重复而造成错误，比如说 & 符号，第一次进数据库是 &amp; ，如果修改时不还原，第二次进数据库就会变成 &amp;amp; ，当在首页显示的时候就会错乱，变成 &amp; 而不是原来的&）

weeming21

回复  weeming21

资深的都不会  
不是吧？？

XSS 是那天你表演我才看到。
上次有人表演给我看 ...
宅男-兜着走 发表于 2011-1-21 05:41 PM

Programming很强，就算知道这些，也并不代表能完全防御，毕竟黑客入侵手法层出不穷，除非对所有黑客入侵技术都有研究，或许能防个90%，所以至今天天都有网站被黑客入侵。相反的，网络安全专家的programming也不一定很厉害。目前黑客入侵事件超过90%是通过Web管道入侵, 但其实inhouse software的漏洞更加多（buffer overflow），只是不容易接触到，也不广泛，所以没有察觉。
   
不成功就去测试到成功为止呀，不知己知彼，又何来防御

~Zero

哦明白了～
你是说，在 textarea 里面是 <，可是存进 database 是 &lt;。
然后当你开回 textarea 又变成了 < 对吗？

这不是正确的吗？
难道你要打进去是 <，然后存进 database 后再提出来变成 &lt; ？？

就像 weeming21 所说，如果是这样，你连续存两次以上就会错乱了。

我有一次遇到一个 open source 的 php 软件，
他自动把 textarea 里面打的 enter （既 \r\n）转成 <br /> 存进 database，
过后提出来 edit 的时候连 <br /> 也在变 textarea 里面了。（它没有转回 \r\n ）
submit 后竟然变成 &lt;br /&gt;<br />。。。
整个就是失败的 editor。
@.@

fire-fly3

楼主薪水多少， 你也是degree 毕业？
透露一下。。。。

宅男-兜着走

楼主薪水多少， 你也是degree 毕业？
透露一下。。。。
fire-fly3 发表于 2011-2-25 03:54 PM

DIPLOMA 的。

我没找到 Programmer 的工作， troubleshoting, problem solving, 经验 不够深。没人请。
现在做 类似 IT Support 的工作。

范围是: Develop, Extend existing system, Networking, Maintain Server, 修电脑, Troubleshooting system problem

工钱少过 2000,可怜没？