有人可以通过这种方法将一些恶意代码注入到我的脚本中吗?如果有人可能,最佳做法是什么?是DOMDocument :: loadHTMLFile()安全吗?
我想创建一个类似于reddit建议标题的方式。
有人可以通过这种方法将一些恶意代码注入到我的脚本中吗?如果有人可能,最佳做法是什么?是DOMDocument :: loadHTMLFile()安全吗?
我想创建一个类似于reddit建议标题的方式。
真的很简短的回答是YES。一般来说,HTML的任何“外来”加载都是不安全的 - 实际上,来自用户的任何数据加载可能是不安全的 - 所有用户提供的数据必须被验证和审查。
但是,根据您提供的信息确定答案是不可能的。这是因为它取决于哪个文件,文件是如何控制的,一旦文件加载,你如何处理文件。
添加此信息也许我可以给出更好的答案。
我假设,当你问关于该功能/方法的安全性,你正在谈论注入一些将在服务器上执行的代码,而不是XSS
。
我不是一个C
/C++
专家,但看着dom_load_html()
's source code是背后loadHTMLFile()
的方法,我可以看到它下面的结构良好的逻辑和流程,除了很好地控制安全故障时遇到问题。
同样,我是一个新手,你可能需要一些专家C
/C++
,以上只是我个人的意见。