Здравствуй Я на стадии прототипа с моим сайтом. Я прочитал главную страницу очистителя html и вопросы об этой библиотеке на этом сайте, но я все еще не понимаю эту проблему. Можете ли вы мне посоветовать? Спасибо, BR Мое понимание: Из документов, которые я прочитал, я понял, что лучшее, что я могу сделать, это: использовать mysqli_real_escape_string […]
Мой сайт использует редактор WYSIWYG для пользователей, чтобы обновлять свои учетные записи, вводить комментарии и отправлять личные сообщения. Редактор (CKEditor) отлично подходит только для того, чтобы пользователи могли вводить правильный ввод, но я беспокоюсь о вводе через TamperData или другими способами. Как я могу контролировать это на стороне сервера? Мне нужно настроить белый список конкретных […]
У меня есть веб-сайт, посвященный развлечениям. Итак, я решил использовать новый метод для предотвращения атаки XSS. Я создал следующий список слов alert(, javascript, <script>,<script,vbscript,<layer>, <layer,scriptalert,HTTP-EQUIV,mocha:,<object>,<object, AllowScriptAccess,text/javascript,<link>, <link,<?php, <?import, Я думал, что, поскольку мой сайт связан с развлечениями, поэтому я не ожидаю от обычного пользователя (кроме вредоносного пользователя) использовать такие слова в своем комментарии. Итак, я […]
У меня есть куча субдоменов на одном сервере: a.example.com b.example.com news.example.com Все они находятся в одном виртуальном хосте Apache. Мне нужно использовать фид, предоставляемый субдоменом новостей внутри субдомена a и b. Каналы обычно выглядят следующим образом: news.example.com/news/a news.example.com/news/b В поддоменах a и b я использую функцию jjery ajax для загрузки данных из новостных лент и […]
Какой из двух способов лучше предотвратить атаку xss? HTMLEntities при сохранении в db HTMLEntities при отображении / эхом Я считаю, что первое лучше, потому что вы можете забыть добавить это во время отображения.
У меня есть файл под названием action.php, который сделает какое-то действие. Я хочу показать это как простой вывод JSON или JSONP. Пользователь будет вызывать это с помощью URL-адреса, например: action.php?jsonp=callback В моем action.php я делаю что-то вроде этого $jsonp = isset $_GET["jsonp"] ? $_GET["jsonp"] : false; $output = execute_action(); if ($jsonp) { header('Content-Type: application/javascript'); printf("%s(%s)", […]
$address и $cityState предоставляется пользователю, хранятся в БД и доступны для других, как показано ниже. Существует ли риск XSS ? Должен ли использоваться htmlspecialchars() ? <img src="http://maps.google.com/maps/api/staticmap?markers=color:blue|<?php echo(urlencode($address.' '.$cityState));?>&zoom=14&size=400×400&sensor=false" alt="Map" />
Является ли htmlentities лучшим решением для предотвращения XSS в PHP? Также я хотел бы разрешить простые теги, такие как b , i , a и img . Что было бы лучшим решением для реализации этого? Я действительно рассматривал bbcode, но обнаружил, что если не реализован правильно, у меня тоже будет проблема с XSS. Что мне […]
Является ли это 100% безопасным для XSS? Если нет, можете ли вы привести пример плохой строки текста, показывающий мне, почему это не так. <html> <body> <script> <?php $bad = "some bad string. please give example text that makes the below unsafe"; echo "var a = ".json_encode($bad).";"; echo "var b = ".json_encode(array($bad)).";"; ?> </script> </body> </html> […]
Существуют ли какие-либо готовые сценарии, которые я могу использовать для PHP / MySQL для предотвращения серверных сценариев и инъекций JS? Я знаю о типичных функциях, таких как htmlentities, специальные символы, замену строк и т. Д., Но есть ли простой бит кода или функция, которая является безотказной для всего? Любые идеи были бы замечательными. Большое спасибо […]