Мне нужно предотвратить межсайтовый скриптинг (XSS). Как я могу проверить, что это не межсайтовый скрипт? Проблема связана с моим «url» BBCode. function bbcode($input) { $search = array('/\[a url="(.+?)"\](.*?)\[\/a\]/is'); $replace = array('<a href="$1" style="color: #337ab7; text-decoration: none" target="_blank">$2 </a>'); return preg_replace($search, $replace, $input); } bbcode([a url="javascript://hello.com/%0Aalert(%27s%27)"]XSS[/url]); Приведенный выше код является примером того, что происходит. Когда вы […]
Я помню, как я видел эксплойт для функции загрузки изображений, которая заключалась в сокрытии вредоносного PHP-кода внутри tiff-изображения. Я делаю свой собственный сценарий загрузки изображений, и я предполагаю, что мне придется защищаться от этой возможности. Кроме того, я понятия не имею, как это будет работать. Кто-нибудь знает, как оболочка php, спрятанная внутри изображения, будет выполняться […]
Я создаю веб-приложение, и я беспокоюсь о безопасности. Это способ сделать «инъекцию php», таким же образом можно сделать «SQL-инъекцию»? Это означает, что клиент может отправить код php, который будет выполняться на сервере. Пока мы не будем использовать функцию eval, я бы хотел сказать «нет», потому что, когда мы получаем значение от $ _GET и $ […]
AFAIK существует только уязвимость в HEADERS электронной почты при правильном использовании пользовательских данных? Я использую функцию ниже для дезинфекции своих данных, однако у меня есть некоторые поля textarea на странице, и поэтому они могут содержать разрывы строк. Поэтому было интересно, не будут ли эти данные пользователя помещаться в тело письма, может ли это не беспокоиться […]
Я довольно запутан, в PHP есть так много функций, и некоторые используют это, некоторые используют это. Некоторые люди используют: htmlspecialchars() , htmlentities() , strip_tags() т. Д. Что является правильным и что вы, ребята, обычно используете? Правильно ли это (посоветуйте мне лучше, если таковые имеются): $var = mysql_real_escape_string(htmlentities($_POST['username'])); Эта строка может предотвратить инфляцию MySQL и XSS? […]