sicurezza generale del linguaggio html

La mia idea era quella di predisporre un servizio (tipo blog) in grado che gli utenti potevano commentare.


Ma arriviamo al dunque...

Dal cms potrei abilitare il linguaggio html e php.

Il php è escluso che lo usi..poichè se usato per scopi di hackeraggio potrebbe causare gravi problemi al cms stesso e compromettere la sicurezza del sito web.

Ma per quanto riguarda l'html mi viene un dubbio...

è vero che è possibile includere dei script e altri oggetti che potrebbero compromettere il browser del visitatore...ma altro non possono fare giusto?

il codice html non può compromettere il cms stesso...sbaglio?

Ciao, scusa l'inciso ( son un niubbo ) ,che cos'è il cms ?

Definizione di CMS (fonte: wikipedia):

Codice:

CMS è l'acronimo di Content Management System, ovvero un sistema di gestione dei contenuti.Viene utilizzato per permettere l'agevole modifica dei contenuti di un sito, un portale , senza conoscere la sintassi HTML. 

Il php è escluso che lo usi..poichè se usato per scopi di hackeraggio potrebbe causare gravi problemi al cms stesso e compromettere la sicurezza del sito web.

Il PHP è uno dei linguaggi più sicuri del web, se correttamente scritto (validazione dei form, ecc). Poi con l'HTML non potresti fare il blog perchè dovresti comunque passare per una pagina PHP. Ti dico anche che magari esistono dei blog già fatti per il tuo CMS, prova a guardare su google..

Ciao!

Non credo che riuscirai a trovare qualcosa (un cms) che non sia in php per fare un sistema di blog.. al limite puoi trovare qualcosa che non richiede l'sql come il cutenews cutephp.com ^^

[dementialsite]

... è vero che è possibile includere dei script e altri oggetti che potrebbero compromettere il browser del visitatore...ma altro non possono fare giusto? ...

Beh, dipende, se qualcuno ti scrive un post del genere:

Codice:

<IFRAME SRC="http://un-sito-pieno-zeppo-di-trojan-e-spyware.biz/" STYLE="display:none"></IFRAME>

poi voglio vedere quante lamentele riceverai per gente che si trova problemi dopo aver visitato il tuo sito...

Quindi, se non puoi filtrare i tag più innocui (leggi: B, I, U, STRIKE, TABLE, TR, TD) e il tuo CMS non ha un sistema di codici tipo il bbCode di phpBB o vBulletin, disattiva tout court anche HTML.

... il codice html non può compromettere il cms stesso...sbaglio?

Fatto salvo che tu sia ancora convinto di attivare l'HTML, qualcosa si può fare... per esempio aprire un tag <B> e dimenticarsi di chiuderlo, così si rischia di trovarsi tutto il sito in grassetto...

Stammi bene...