Как безопасно хранить js в базе данных?

Question

dvomaks @dvomaks

Как безопасно хранить js в базе данных?

Возникла необходимость хранения кусков кода на javascript в базе данных. Наверное для лучшего понимания наведу пример. Пользователь на сайте в редакторе пишет свой код, сохранение идет в базу данных, потом этот код будет отдаваться этому же пользователю в чистом виде или в опять же в редакторе.

Сейчас склоняюсь к тому чтобы полученный код кодировать в base64 и сохранять в базе, думаю это полностью обезопасит на стадии сохранения и обновления. Для вывода использовать что-то типа

echo base64_decode($javascript);

Собственно сам вопрос - насколько безопасно отдавать данные таким образом пользователю для меня? Безопасность пользователя здесь меня не волнует, так как он будет получать только то что сам написал.
Может есть другие варианты? Ткните носом пожалуйста, нагуглить ничего подходящего не получилось.

Вопрос задан более трёх лет назад
926 просмотров

3 комментария

Подписаться 1 Оценить 3 комментария

Решения вопроса 1

12 комментариев

dvomaks @dvomaks Автор вопроса

по вашему это обезопасит отдачу данных?

Написано более трёх лет назад
Александр @aspetek

dvomaks: PDO решает вопрос с безопасностью вставки (исключает возможность инъекции). В базе будет храниться и, соответственно, отдаваться пользователю ровно то, что он ввел. Вроде бы, это то, что Вам нужно

Написано более трёх лет назад
Александр @aspetek

Кодирование base64 сильно увеличит объем данных. Да и вообще каким-то извратом кажется

Написано более трёх лет назад
dvomaks @dvomaks Автор вопроса

то есть достаточно будет сделать mysql_real_escape_string перд вставкой, а потом когда отдаем избавится от слешей?

Написано более трёх лет назад
Александр @aspetek

dvomaks: ну вообще если использовать PDO или правильно заэкранировать, убирать слеши при отдаче не придется. Надо с конкретной реализацией смотреть и экспериментировать. Кстати, а вы какой редактор используете?

Написано более трёх лет назад
Назар Мокринский @nazarpc

dvomaks: От каких ещё слэшей? Вам вернется ровно то, что вы вставляли. mysqli_real_escape_string() просто позволяет сделать эту самую вставку безопасно, сами данные от этого не меняются.

Написано более трёх лет назад
dvomaks @dvomaks Автор вопроса

>>Кстати, а вы какой редактор используете?
Ace Editor

Написано более трёх лет назад
Александр @aspetek

dvomaks: пользователь в чем свой код вводит? Там скорее всего редактор и заменяет < на &lt и прочее. Тогда просто если нужно отдать чистый код нужно прогнать через html_entity_decode

Написано более трёх лет назад
dvomaks @dvomaks Автор вопроса

Назар Мокринский: возможно я что-то не так понял но исходя из того что
"Функция экранирует специальные символы строки unescaped_string, принимая во внимание кодировку соединения, таким образом, что результат можно безопасно использовать в SQL-запросе в функци mysql_query(). "
подумал что экранирование и происходит, надо проверить

Написано более трёх лет назад
Назар Мокринский @nazarpc

dvomaks: Всё верно, но экранирование не меняет данные, просто готовит их к запросу. В БД вставится ровно то, что было до экранирования. И забудьте наконец про mysql_* функции, в актуальной версии PHP их вообще нет.

Написано более трёх лет назад
dvomaks @dvomaks Автор вопроса

Александр: Вот спасибо, я а городил через replace, буду знать

Написано более трёх лет назад
dvomaks @dvomaks Автор вопроса

Назар Мокринский: на сервере PHP5.3
использую небольшой клас для работы с базой данных
function RealEscape($string)
{
if ($this->con) return mysqli_real_escape_string ($this->con, $string);
else return mysql_escape_string($string);
}

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 3

1 комментарий

Комментировать

2 комментария

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+1 ещё

Простой
Как в php формировать ответ на AJAX XMLHttpRequest запрос?
- 1 подписчик
- час назад
- 37 просмотров
0

ответов
PHP

+2 ещё

Средний
Запросы soap в инфоклинику на php?
- 1 подписчик
- 4 часа назад
- 85 просмотров
2

ответа
PHP

Простой
Не работает часть скрипта PHP при смены PHP 7 на 8?
- 1 подписчик
- 18 часов назад
- 167 просмотров
2

ответа
MySQL

+1 ещё

Простой
Как извлечь топ 15 очков из таблицы чтобы игроки не дублировались?
- 1 подписчик
- 22 часа назад
- 93 просмотра
1

ответ
JavaScript

+1 ещё

Простой
Почему при добавление переменно в style, она перестаёт обновляться?
- 1 подписчик
- вчера
- 61 просмотр
1

ответ
PHP

Средний
Как найти в массиве ответа API нужное значение, при том что значение может быть написано в разном регистре?
- 1 подписчик
- вчера
- 133 просмотра
3

ответа
PHP

+1 ещё

Простой
Как отправить сообщение в определенную тему в группе Telegram боту на PHP?
- 1 подписчик
- вчера
- 66 просмотров
0

ответов
JavaScript

Простой
Как получить результат отправки на сервер, если fetch-запрос был в одной функции, а результат нужен в другой?
- 1 подписчик
- вчера
- 72 просмотра
1

ответ
PHP

+1 ещё

Простой
Почему не работает JWT поверка?
- 1 подписчик
- вчера
- 66 просмотров
0

ответов
PHP

+1 ещё

Средний
Как отладить плавающий баг проверки капчи?
- 1 подписчик
- вчера
- 57 просмотров
1

ответ
Показать ещё Загружается…

JavaScript разработчик

SummerWeb • Ярославль

от 100 000 до 140 000 ₽

JavaScript разработчик

вАйТи

от 5 000 до 25 000 ₽

JavaScript разработчик

Мэтч

от 80 000 ₽

Разработать видеочатбота с ответами на вопросы абитуриентов

23 апр. 2024, в 17:07

6500 руб./за проект

Разработать прототип для бч Solana

22 апр. 2024, в 16:15

18000 руб./за проект

Wagtail(Django)

23 апр. 2024, в 16:55

10000 руб./за проект

может просто экранировать кавычки?
тоесть, addslashes(base64_decode($javascript));?

но мне нужно получать js в чистом виде
dvomaks: в данном случае опасность только в sql инъекциях. Есть вариант хранить код в файле, название файла в базе, это точно обезопасит вашу базу.

Answer 1 · 2016-03-29 07:48:07

Александр @aspetek

PDO, и не надо париться со всем остальным

Ответ написан более трёх лет назад

12 комментариев

Answer 2 · 2016-03-29 07:32:26

Кодировать данные в базу можете как угодно, но к защите это отношения может и не иметь. Прочтите как обезопасить себя от MySQL injection и, возможно, после прочтения вам уже и конвертировать не нужно будет вовсе.

Answer 3 · 2016-03-29 07:52:39

Поддерживаю Zhainar и Александр вы просто пишете в БД JS с экранированными кавычками типа:
var arr = [222,1,6666,33,\"word\",111111];

При отображении этого кода пользователю, просто убираете экранирование и получаете чистый JS:
var arr = [222,1,6666,33,"word",111111];

Answer 4 · 2016-03-29 08:11:02

думаю это полностью обезопасит на стадии сохранения и обновления

от чего обезопасит? от сифилиса?

вопрос человека, который не знает азов и даже прочитать азы не хочет.
phpfaq.ru/mysql/slashes

JS НИЧЕМ не отличается от других данных. Хранить в базе как обычный текст. И не надо ничего никуда конвертировать.

Как безопасно хранить js в базе данных?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт