Implicazioni sulla sicurezza dei file PHPCSS (CSS dinamico con PHP)

2

Sto lavorando a un sito Web in cui devo consentire all'utente di modificare più valori CSS nel proprio CMS. Ho bisogno di leggere questi valori nel browser in CSS e imbattersi in un modo "facile" per fare proprio questo: creare un file PHP ma inviare il tipo di contenuto dell'intestazione come text/css come visto sotto :

<?php
    header( "Content-type: text/css; charset: UTF-8" );

    $body_bgcolor = get_option( 'background_color' );
    /* ... Additional Settings ... */
?>

body    {background-color: <?php echo $body_bgcolor; ?>}

Questo mi consente di inviare quanto sopra al browser usando:

<link rel="stylesheet" href="http://domain.com/globals/customizations.php" type="text/css" />

Tutto quanto sopra funziona bene e potrebbe presentare alcuni inconvenienti in termini di prestazioni, ma sono più preoccupato per eventuali buchi di sicurezza che questo può creare. Parlando di questo con i colleghi hanno parlato vagamente di quanto insicuro fosse il metodo di cui sopra. Ho provato a cercare su questo argomento ma non ho trovato nulla di specifico che discuta le implicazioni sulla sicurezza di fare quanto sopra.

L'applicazione di quanto sopra potrebbe essere insicura in qualche modo?

    
posta Howdy_McGee 13.09.2016 - 22:04
fonte

1 risposta

2

Ho fatto esattamente questo per molti anni su diversi siti web.

Questo non è più né meno sicuro dell'uso di PHP per creare una pagina HTML.

Assicurati di disinfettare / convalidare tutti gli input forniti dall'utente (come faresti per la gestione dell'input dell'utente su una normale pagina Web), e non c'è ragione per non fare ciò che stai facendo.

    
risposta data 14.09.2016 - 04:09
fonte

Leggi altre domande sui tag