PHP Lang
  1. PHP Lang
  3. PHP / JAVASCRIPT / Mysql: предотвращение инъекций javascript
Intereting Posts
pass sessionid через jquery ajax вызов php Лучшая оценка для обработки полей форм PDF с помощью PHP5 PHP превращает PM и AM в 24 часа Разбор синтаксического анализа расширенного тега Как создать раскрывающийся список времени? Является ли __autoload () для родительских классов автозагрузочных классов? PHP / CodeIgniter – установка переменных в __construct (), но они недоступны из других функций RGBA формат HEX в формате RGB HEX? PHP Отправка нескольких флажков Объединение двух регулярных выражений для усечения слов в строках Как аутентифицировать пользователя на индексной странице в Yii Какие проверки следует использовать для предотвращения прямого доступа к страницам (с использованием PHP)? Как получить xdebug var_dump, чтобы показать полный объект / массив PHP: лучший способ извлечь текст в круглых скобках? Выполнение внешней программы BLAST в PHP

PHP / JAVASCRIPT / Mysql: предотвращение инъекций javascript

Это может быть возможный дубликат этого вопроса здесь , но он действительно не подходит и не отвечает на мой вопрос таким образом, что я (глупая голова) могу это понять.
Хорошо, у меня есть формуляр на веб-странице, как показано в моем предыдущем вопросе . Прежде чем использовать $ txtpost для инъекции запросов mysql, я теперь добавил $ txtpost = htmlentities($txtpost, ENT_QUOTES); , который должен защитить меня от XSS-атак. Но, как указывает пользователь php.net , мы не будем защищать меня от javascript-инъекций. Тем не менее, как я могу предотвратить такие инъекции javascript? Как вы можете видеть в коде из предыдущего вопроса, я не знаю, что именно будет введено в текстовое поле, поэтому я не могу допускать только определенные значения. Обратите внимание, что весь код из предыдущего вопроса, который был неправильным, теперь исправлен, и все работает отлично.
VicStudio

Ну, это правда, что вы не будете защищены от людей, помещающих HTML в вашу базу данных.

Прежде всего 

 $txtpost = htmlentities($txtpost, ENT_QUOTES);

Сбегут кавычки, что делает SQL-инъекцию менее вероятной. Но я все еще могу сделать OR 1 = 1 . Это делает каждое утверждение истинным. Современная технология опирается на подготовленные заявления ( как заменить функции MySQL PDO? )

Если вы прочтете выше, вы увидите пример PDO подготовленного оператора. Вы также можете сделать это с помощью MySQLi. Это предотвращает тот факт, что люди могут выполнять SQL-инъекцию.

Во-вторых: Да, я все еще могу 

 <a href="javascript:alert(1)">XSS</a>

В вашу базу данных. Вы должны определить нужные элементы в своей базе данных, используя функцию здравомыслия. PHP дает вам несколько

  • filter_input : Позволяет фильтровать и дезинфицировать определенные данные.
  • strip_tags : позволяет вырезать все теги и / или использовать белый список тегов, которые вы хотите разрешить.
  • htmlspecialchars : преобразует все специальные символы в сущности. Как «к».

Вывод заключается в том, что вам нужно контролировать. Вы решаете, что происходит на вашей странице. Поэтому, если вы хотите быть в безопасности, вы можете фильтровать все и размещать на своей странице как обычный текст. Для безопасности я рекомендую санировать три раза. Перед публикацией материала, когда он передается в базу данных и снова, когда он помещается на страницу. Таким образом, вы минимизируете опасность инъекции.