当前位置:首页 » PHP技术

Kindeditor漏洞 编辑代码内容被执行

2011-12-17 09:35 本站整理 浏览(12527)

现在豆芽基本上都是用的Kindeditor这款HTML在线编辑器,跟FCKeditor相比加载比较快,尤其是在服务器上面,界面也比FCK好看。最近发现了一个Kindeditor漏洞,这个问题在开源社区上也有朋友遇到过,并且开源社区上用的也是kindeditor编辑器。


 


kindeditor漏洞描述:在kindeditor编辑代码添加到数据库时没有任何问题,也就是一些HTML代码不会被执行,例如:<a href="#">web编程</a>,这样的代码在首次编辑的时候没有被执行。但是,从数据库里取出来再放到kindeditor里进行修改的时候问题就出现了,这行HTML代码被执行了,结果这样:web编程 变成了超链接的形式。


 


解决办法:先看下面这张图


 


Kindeditor漏洞 编辑代码内容被执行


 


这张图是本站后台代码文件,我将从数据库里取出来的内容中的“&”进行了替换,替换成了实体“&amp;”。然后你再取修改之前插入的代码,就可以正常显示了。


 


特别注意:上图中我使用的是PHP语言来修改的,其他服务器端脚本语言思想是一样的,进行替换。


 


说在最后:不知道这是不是kindeditor漏洞,也有朋友说修改配置就行,但是豆芽修改了那个配置照样还是老样子,只有按照上图来修改就问题解决。