PHP Lang

Articles of инъекция кода

Безопасность PHP preg_replace

Мне нужно предотвратить межсайтовый скриптинг (XSS). Как я могу проверить, что это не межсайтовый скрипт? Проблема связана с моим «url» BBCode. function bbcode($input) { $search = array('/\[a url="(.+?)"\](.*?)\[\/a\]/is'); $replace = array('<a href="$1" style="color: #337ab7; text-decoration: none" target="_blank">$2 </a>'); return preg_replace($search, $replace, $input); } bbcode([a url="javascript://hello.com/%0Aalert(%27s%27)"]XSS[/url]); Приведенный выше код является примером того, что происходит. Когда вы […]

Можно ли вводить php-оболочку в изображение? Как это будет работать?

Я помню, как я видел эксплойт для функции загрузки изображений, которая заключалась в сокрытии вредоносного PHP-кода внутри tiff-изображения. Я делаю свой собственный сценарий загрузки изображений, и я предполагаю, что мне придется защищаться от этой возможности. Кроме того, я понятия не имею, как это будет работать. Кто-нибудь знает, как оболочка php, спрятанная внутри изображения, будет выполняться […]

Можно ли сделать «инъекцию php»?

Я создаю веб-приложение, и я беспокоюсь о безопасности. Это способ сделать «инъекцию php», таким же образом можно сделать «SQL-инъекцию»? Это означает, что клиент может отправить код php, который будет выполняться на сервере. Пока мы не будем использовать функцию eval, я бы хотел сказать «нет», потому что, когда мы получаем значение от $ _GET и $ […]

Есть ли какая-либо инъекционная уязвимость в теле письма?

AFAIK существует только уязвимость в HEADERS электронной почты при правильном использовании пользовательских данных? Я использую функцию ниже для дезинфекции своих данных, однако у меня есть некоторые поля textarea на странице, и поэтому они могут содержать разрывы строк. Поэтому было интересно, не будут ли эти данные пользователя помещаться в тело письма, может ли это не беспокоиться […]

Как предотвратить атаки инъекций кода в PHP?

Я довольно запутан, в PHP есть так много функций, и некоторые используют это, некоторые используют это. Некоторые люди используют: htmlspecialchars() , htmlentities() , strip_tags() т. Д. Что является правильным и что вы, ребята, обычно используете? Правильно ли это (посоветуйте мне лучше, если таковые имеются): $var = mysql_real_escape_string(htmlentities($_POST['username'])); Эта строка может предотвратить инфляцию MySQL и XSS? […]
Intereting Posts
Проблемы с размером столбца phpExcel Nginx показывает php-код вместо того, чтобы выполнять Вызов функции undefined pg_connect () – Wamp Как использовать запрос async Mysql с PHP PDO Несколько циклов while внутри цикла while? Создание системы входа администратора / пользователя в PHP Посещение базы данных – вставка нескольких записей в один запрос Как получить доступ к профилю MongoDB в PHP? PHP: Почему ответ на это дополнение 20, а не 22? PHP просматривает только 20 загружаемых файлов за раз PHP-цикл: добавьте div вокруг каждого трех элементов синтаксиса Как получить первичный идентификатор до или в то же время он создается? Создание миниатюры в php, отправка на Azure Computer Vision API Легкий способ экспорта таблицы SQL без доступа к серверу или phpMyADMIN Идеальная структура папок структуры MVC