kunitsuji
tsuji****@m-s*****
2009年 10月 11日 (日) 17:33:07 JST
kunitsujiです。 タグを受け付けるというのは、<hoge>というタグが入力されたら、それをそのま ま表示するということで、タグ入力を何かに変換するということではないです。 そういう意味では「受付ない」ということですね。 自分がいとしている受け付けないというのは CMSでよくある「取り除く」ということで、MyNETSでは取り除くことはしていま せん。 Kenjiさんのいう「受付ない」ということです。(笑) >Kenji です。 > > >On Thu, 08 Oct 2009 20:14:23 +0900 >kunitsuji <tsuji****@m-s*****> wrote: > >> kunitsujiです。 >> >> Kenjiさん。 >> CMSなどではすべて取り除くものもありますね。MyNETSはもともとタグも受け付 >> けるタイプなので、あえて取り除くのはどうなのかなと思っています。 > >MyNETS は、タグを受け付けるんですか?今は、受け付けないですよね。 >BBCode 使ってますし。 > > >> 設定として、タグを受け付けるか受け付けないか、ということで受け付けないと >> いう設定を持たせて判断するしかないですかね。 >> >> 受け付ける場合 >> そのままサニタイズして表示 > >これは、xss_clean() して終わりということでしょうか? > > >> 受け付けない場合 >> 取り除いてしまう。 > >タグを受け付けない場合は htmlspecialchars() かけるだけで済みます。 > > >// Kenji > > >> MyNETSのデフォルトの部分なので、XSS_CLEANの扱いを決めたいと思います。 >> >> >Kenji です。 >> > >> > >> >On Thu, 08 Oct 2009 19:25:05 +0900 >> >kunitsuji <tsuji****@m-s*****> wrote: >> > >> >> kunitsujiです。 >> >> >> >> 現在CIでは、ヴァリデーションでXSS_CLEANを指定した場合、 >> >> [remove]等で置き換わってしまいます。 >> >> >> >> これはMyNETS2でそのまま使ったほうがいいのか、基本的に入力されたものはそ >> >> のまま扱ったほうがいいのか、ご意見ください。 >> > >> >一概に言えないと思います。アプリというか入力値に依存するんじゃないでしょう >> >か。 >> >タグを許可する入力の場合は、要検討でしょうか。 >> > >> >私は、勝手に入力値が [remove] などに変わるのは嫌ですし、重いため、基本的に >> >は >> >使いません。 >> > >> >あと、xss_clean がどこまで安全なのかは、よくわかってません。 >> > >> > >> >// Kenji >> > >> >_______________________________________________ >> >Usagi-developer mailing list >> >Usagi****@lists***** >> >http://lists.sourceforge.jp/mailman/listinfo/usagi-developer >> >> _______________________________________________ >> Usagi-developer mailing list >> Usagi****@lists***** >> http://lists.sourceforge.jp/mailman/listinfo/usagi-developer > >_______________________________________________ >Usagi-developer mailing list >Usagi****@lists***** >http://lists.sourceforge.jp/mailman/listinfo/usagi-developer
