Kindeditor漏洞 编辑代码内容被执行

现在基本上都是用的Kindeditor这款HTML在线编辑器，跟FCKeditor相比加载比较快，尤其是在服务器上面，界面也比FCK好看。最近发现了一个Kindeditor漏洞，这个问题在开源社区上也有朋友遇到过，并且开源社区上用的也是kindeditor编辑器。

kindeditor漏洞描述：在kindeditor编辑代码添加到数据库时没有任何问题，也就是一些HTML代码不会被执行，例如：web编程，这样的代码在首次编辑的时候没有被执行。但是，从数据库里取出来再放到kindeditor里进行修改的时候问题就出现了，这行HTML代码被执行了，结果这样：web编程变成了超链接的形式。

解决办法：先看下面这张图

这张图是本站后台代码文件，我将从数据库里取出来的内容中的“&”进行了替换，替换成了实体“&”。然后你再取修改之前插入的代码，就可以正常显示了。

特别注意：上图中我使用的是PHP语言来修改的，其他服务器端脚本语言思想是一样的，进行替换。

说在最后：不知道这是不是kindeditor漏洞，也有朋友说修改配置就行，但是修改了那个配置照样还是老样子，只有按照上图来修改就问题解决。

猜你喜欢