Articles of xss

Объединение подготовленного оператора в функцию

Я читал статьи о SQL Injection и решил изменить свой код, чтобы предотвратить SQL-инъекцию. Например, у меня есть вход, который я вставляю в мою базу данных. Первоначально моя защита от инъекций была такой: function test_input($data) { $data = trim($data); $data = stripslashes($data); $data = htmlspecialchars($data); // $data = addslashes($data); $data = mysql_real_escape_string($data); return $data; } […]

Почему это XSS-атака и как это предотвратить?

У меня есть этот код php, и мой автотест безопасности CMS говорит, что это атака XSS. Почему и как я могу это исправить? $url = "news.php"; if (isset($_GET['id'])) $url .= "?id=".$_GET["id"]; echo "<a href='{$url}'>News</a>";

Используя htmlspeciachars на выходе из базы данных (MySQL), что еще следует учитывать для предотвращения XSS?

Используя htmlspeciachars на выходе из базы данных (MySQL), что еще следует учитывать для предотвращения XSS? Правильно ли, что использование htmlspecialchars на выходе при запуске данных из базы данных (в данном случае MySQL) вы предотвратите XSS? В этом случае HTML будет показан в HTML-документе? Есть ли что-нибудь еще, что вы должны учитывать? Я имею в виду, […]

что еще я могу сделать, чтобы не допустить инъекции XSS и SQL Injection?

Если мой сайт когда-либо выйдет вживую (не думайте, что это будет, это просто учебное упражнение в данный момент). Я использовал mysql_real_escape_string (); по данным POST, SERVER и GET. Кроме того, я использовал intval (); на строках, которые должны быть только числами. Я думаю, что это покрывает меня от SQL-инъекции ? Верный? Могу ли я сделать […]

SQL-инъекция | Изменение значений идентификатора

Я застрял в проблеме с sql-инъекцией. На моей странице отображаются данные таблицы следующим образом: <input type="checkbox" name="id[]" value="<?php echo $row['id']; ?>" /><?php echo $row['data']; ?><br /> Как я могу быть уверенным, что представленное значение является идентификатором этой конкретной строки, а не случайным числом, «введенным» на странице? Очевидно, я бы начал проверять, что id возвращает true […]

Избегайте двойного кодирования в <INPUT> при использовании htmlspecialchars

Скажем, у вас есть текст <INPUT> для имени пользователя, и они решили ввести Johnny's Pizza Это сохраняется в DB как Johnny's Pizza Но если пользователь решает изменить, я повторно заполняю текст <INPUT> следующим образом echo form_input('name', htmlspecialchars($name, ENT_QUOTES, 'UTF-8')); который будет отображаться как Johnny's Pizza внутри поля ввода. В PHP.net есть комментарий, предлагающий использовать echo […]

SQL-предупреждение XSS

Привет, ребята, у меня есть вопрос, есть ли что-то, что я мог бы использовать при вставке данных в SQL для предотвращения XSS? Вместо этого, читая его. Например, у меня есть довольно много выходных данных из моего sql, которые созданы пользователем, можно ли просто сделать это безопасным при вводе SQL или мне нужно сделать его безопасным, […]

Предотвращать отправку HTML-данных в текстовые поля формы

Я делаю веб-приложение с использованием PHP, где у меня есть форма, которая вносит записи в базу данных MySQL, а затем отображает ее на другой веб-странице. Но проблема в том, что текстовые поля в форме имеют тенденцию принимать HTML-контент, что делает приложение уязвимым для хакеров XSS. Как преобразовать HTML в обычный текст, прежде чем я покажу […]

Предотвращение вставки кода загрузки изображения

У меня есть форма, которую пользователь заполняет лирикой и загружает обложку альбома. Представленные данные будут вставлены в базу данных, а обложка альбома будет перенесена в подпапку. localhost/project-folder/covers Я принял некоторые меры предосторожности (экранирование, подготовленные заявления) против SQL Injection для ввода формы. Недавно я узнал, что мне также необходимо принять меры предосторожности при загрузке файла (изображения), […]

Смягчение атак xss при создании ссылок

Я отправил этот вопрос некоторое время назад, и он отлично работает для поиска и «связывания» ссылок с созданных пользователем сообщений. Связать функцию регулярного выражения PHP Daring Fireball Method <?php if (!function_exists("html")) { function html($string){ return htmlspecialchars($string, ENT_QUOTES, 'UTF-8'); } } if ( false === function_exists('linkify') ): function linkify($str) { $pattern = '(?xi)\b((?:(http)s?://|www\d{0,3}[.]|[a-z0-9.\-]+[.][az]{2,4}/)(?:[^\s()<>]+|\(([^\s()<>]+|(\([^\s()<>]+\)))*\))+(?:\(([^\s()<>]+|(\([^\s()<>]+\)))*\)|[^\s`!()\[\]{};:\'".,<>?«»“”'']))'; return preg_replace_callback("#$pattern#i", function($matches) […]