1
有人可以通過這種方法將一些惡意代碼注入到我的腳本中嗎?如果有人可能,最佳做法是什麼?是DOMDocument :: loadHTMLFile()安全嗎?
我想創建一個類似於reddit建議標題的方式。
A
回答
1
真的很簡短的回答是YES。一般來說,HTML的任何「外來」加載都是不安全的 - 實際上,來自用戶的任何數據加載可能是不安全的 - 所有用戶提供的數據必須被驗證和審查。
但是,根據您提供的信息確定答案是不可能的。這是因爲它取決於哪個文件,文件是如何控制的,一旦文件加載,你如何處理文件。
添加此信息也許我可以給出更好的答案。
0
我假設,當你問關於該功能/方法的安全性,你正在談論注入一些將在服務器上執行的代碼,而不是XSS。
我不是一個C/C++專家,但看着dom_load_html()'s source code是背後loadHTMLFile()的方法,我可以看到它下面的結構良好的邏輯和流程,除了很好地控制安全故障時遇到問題。
同樣,我是一個新手,你可能需要一些專家C/C++,以上只是我個人的意見。
相關問題
- 1. DOMDocument :: loadHTMLFile()修改用戶代理
- 2. HHVM DomDocument loadHTMLFile()不起作用。 BUG?
- 3. 是java.nio.file.Files.write(...)安全嗎?
- 4. 是OrderByRaw()安全嗎?
- 5. 是NetNamedPipeBinding安全嗎?
- 6. 是PDO安全嗎?
- 7. 使用PHP DOMDocument :: loadHTMLFile修改所有hrefs,並使它們絕對
- 8. 如何限制運行DOMDocument-> loadHtmlFile時的超時時間?
- 9. loadHTML&loadHTMLFile,哪一個更快?
- 10. OKHTTP是安全的嗎?
- 11. AHAH是安全風險嗎?
- 12. ObjectOutputStream:這是安全的嗎?
- 13. 是java.sql.Connection線程安全嗎?
- 14. 是CreateChildContainer()線程安全嗎?
- 15. 是Thread.getStackTrace()線程安全嗎?
- 16. 是$ _SERVER ['HTTP_REFERER']安全嗎?
- 17. 是codeigniter會話安全嗎?
- 18. 3G是安全連接嗎?
- 19. 是DocumentBuilder.parse()線程安全嗎?
- 20. 是javax.sql.DataSource線程安全嗎?
- 21. 是TcpClient.Available線程安全嗎?
- 22. 是sqlite.swift線程安全嗎?
- 23. 是winsock2線程安全嗎?
- 24. 是unique_ptr線程安全嗎?
- 25. 是SplittableRandom.split()線程安全嗎?
- 26. 線程安全(是嗎?)
- 27. 這是MySQLi安全嗎?
- 28. Response.Redirect(Request.Url.AbsolutePath)總是「安全」嗎?
- 29. 是IP2Location線程安全嗎?
- 30. 是System.DirectoryServices.AccountManagement.GroupPrincipal線程安全嗎?