有人可以通過這種方法將一些惡意代碼注入到我的腳本中嗎?如果有人可能,最佳做法是什麼?是DOMDocument :: loadHTMLFile()安全嗎?
我想創建一個類似於reddit建議標題的方式。
有人可以通過這種方法將一些惡意代碼注入到我的腳本中嗎?如果有人可能,最佳做法是什麼?是DOMDocument :: loadHTMLFile()安全嗎?
我想創建一個類似於reddit建議標題的方式。
真的很簡短的回答是YES。一般來說,HTML的任何「外來」加載都是不安全的 - 實際上,來自用戶的任何數據加載可能是不安全的 - 所有用戶提供的數據必須被驗證和審查。
但是,根據您提供的信息確定答案是不可能的。這是因爲它取決於哪個文件,文件是如何控制的,一旦文件加載,你如何處理文件。
添加此信息也許我可以給出更好的答案。
我假設,當你問關於該功能/方法的安全性,你正在談論注入一些將在服務器上執行的代碼,而不是XSS
。
我不是一個C
/C++
專家,但看着dom_load_html()
's source code是背後loadHTMLFile()
的方法,我可以看到它下面的結構良好的邏輯和流程,除了很好地控制安全故障時遇到問題。
同樣,我是一個新手,你可能需要一些專家C
/C++
,以上只是我個人的意見。