Di cosa dovrei essere a conoscenza quando autorizzo i commenti degli utenti sul mio sito web?

0

Ho un sito web di portfolio e sto pensando di consentire i commenti come una sorta di funzione "guestbook". Quali sono alcune cose che dovrei prendere in considerazione prima di iniziare? Non voglio essere fregato da un utente malintenzionato. Ecco alcuni dei miei pensieri

  • Il commento deve essere approvato prima di apparire sul sito web
  • Inserisci commenti sul sito web come testo invece di html
  • Limita le dimensioni dell'input
  • I requisiti di archiviazione sono minimi, probabilmente userò SQLite, quindi sono consapevole di prevenire le iniezioni SQL. Considerando anche MongoDB. Conserverò pochissimi dati, quindi ho solo bisogno di un database semplice e facile.

L'approvazione dei commenti supera teoricamente tutte le altre misure di sicurezza, ma voglio sapere che sto andando nella giusta direzione. Che cosa succede se un giorno decido di smettere di moderare i commenti? Quindi il resto delle misure di sicurezza dovrebbe ancora funzionare.

    
posta Eric Guan 12.05.2017 - 18:11
fonte

3 risposte

2

Igiene ...

Dici:

Comment approval theoretically trumps all other security measures

Ma nel momento in cui stai rivedendo il commento, è già inserito nel tuo database e visualizzato in almeno un browser (il tuo).

Se non convalidi e disinfetti l'input dei contributi degli utenti, subirai iniezioni SQL e attacchi cross-site scripting e altro ...

    
risposta data 13.05.2017 - 01:28
fonte
0

Limitare / trattare tutto come testo ti proteggerà dalla maggior parte dei grossi problemi. Questa non sarà la cosa più eccitante di sempre. Dovrai proteggere da messaggi molto grandi. Tieni presente che questa protezione viene gestita molto sul server. Limitare semplicemente le dimensioni della casella di testo non impedirà a qualcuno di creare un messaggio che invia direttamente al tuo server.

Se inizi ad aggiungere funzionalità come i link e quant'altro, è un gioco completamente diverso.

    
risposta data 12.05.2017 - 19:26
fonte
0

Puoi leggere la convalida dei dati qui

Anche l'integrazione con servizi come Google captcha può aiutare a filtrare i bot automatizzati e implementare un 'honeypot' come descritto qui

Queste tre semplici soluzioni dovrebbero ridurre la maggior parte dello spam.

    
risposta data 13.05.2017 - 04:23
fonte

Leggi altre domande sui tag