Implicaciones de seguridad de los archivos PHPCSS (CSS dinámico utilizando PHP)

2

Estoy trabajando en un sitio web en el que necesito permitir que el usuario cambie múltiples valores de CSS en su CMS. Necesito volver a leer estos valores en el navegador en CSS y encontrar una forma "fácil" de hacer eso: crear un archivo PHP pero enviar el tipo de contenido del encabezado como text/css como se ve abajo :

<?php
    header( "Content-type: text/css; charset: UTF-8" );

    $body_bgcolor = get_option( 'background_color' );
    /* ... Additional Settings ... */
?>

body    {background-color: <?php echo $body_bgcolor; ?>}

Esto me permite enviar lo anterior al navegador usando:

<link rel="stylesheet" href="http://domain.com/globals/customizations.php" type="text/css" />

Todo lo anterior funciona bien y puede tener algunos inconvenientes en el rendimiento, pero me preocupa más cualquier problema de seguridad que pueda crear. Cuando discutieron esto con colegas, hablaron vagamente acerca de cuán inseguro era el método anterior. He intentado buscar sobre este tema, pero no he encontrado nada que discuta específicamente las implicaciones de seguridad de hacer lo anterior.

¿Sería inseguro aplicar lo anterior de alguna manera?

    
pregunta Howdy_McGee 13.09.2016 - 22:04
fuente

1 respuesta

2

He estado haciendo exactamente esto durante muchos años en varios sitios web.

Esto no es más ni menos seguro que usar PHP para crear una página HTML.

Asegúrese de desinfectar / validar cualquier entrada provista por el usuario (como lo haría para manejar la entrada de un usuario en una página web normal), y no hay razón para no hacer lo que está haciendo.

    
respondido por el Moshe Katz 14.09.2016 - 04:09
fuente

Lea otras preguntas en las etiquetas