[PHP-users 18204]Re: HTMLタグをユーザーレベルで入力してもらう場合の書式チェック&トラブル予防策
SAWADA Hodaka
hoda @ tail.gr.jp
2003年 10月 2日 (木) 18:01:17 JST
At Thu, 02 Oct 2003 16:45:28 +0900,
titi @ beefarm.jp wrote:
> みなさんの意見を伺いたいのですが、webサービス等を制作されていて表題のよ
> うな点で悩んだ事はありませんでしょうか?
表題も本文に含めておいてもらうと、ありがたいに一票。
>Subject: HTMLタグをユーザーレベルで入力してもらう場合の書式チェック&トラブル予防策
> 例えば、掲示板のようなサービスでも結構なのですが、「タグの書き込み許可」
> のような掲示板を作るとします。
>
> そうすると、誤動作防止のためにどうしても「タグの書式チェック」をしたくな
> ると思うのですが、私には良い方法が見当たりません。
良い方法が見当たらないならば、やめておいたほうがよろしいかと。
# 冗談ではなく、本気です。
クロスサイトスクリプティング対策は、真面目にやらないとだめですよ。
http://www.ipa.go.jp/security/awareness/vendor/programming/
ここの 1-2 は必読です。
# 1-2 に限らず、一度は全部に目を通してください!
> 特に単純な記入間違いで
>
> <a href=http://www.hoge.co.jp>ホゲです。
>
> のように「閉じタグ」を忘れるケースは多いと思います。この場合は</a>ですね。
> すると当然これに続く文字列も全てリンク状態になるので、ちょっと困ります。
>
> あと、
>
> <b>
>
> だけ書かれても全て太文字になったりと「閉じタグ」の問題は多いと思いますが、
> いかがでしょうか??
これらの例にはエラーを出すことは出来るでしょうけど、
修正、補正は無理ですよね。
# 何処で閉じたいかは、書いてる人にしかわからない。
--
=^^= HODA =^^= http://www.tail.gr.jp/~hoda/
澤田保隆@しっぽアルゴリズム情報研究所 mailto:hoda @ tail.gr.jp
PHP-users メーリングリストの案内