Я использовал подход @ Alex здесь, чтобы удалить теги сценариев из HTML-документа, используя встроенный DOMDocument. Проблема в том, что если у меня есть тег скрипта с содержимым Javascript, а затем другой тег скрипта, который ссылается на внешний исходный файл Javascript, не все теги скриптов удаляются из HTML. $result = ' <!doctype html> <html> <head> <meta […]
Я был бы признателен за ответ, чтобы урегулировать разногласие между мной и некоторыми сотрудниками. У нас есть типичное веб-приложение PHP / LAMP. Единственный вход, который мы хотим от пользователей, – это простой текст. Мы не приглашаем или не хотим, чтобы пользователи вводили HTML в любой момент. Элементы формы – это в основном базовые текстовые теги […]
Мне нужно найти способ проверки изображения, которое base64 закодировано в PHP. Подтверждаю, что я думаю о XSS и других подобных вещах. Поток: У пользователя есть некоторые параметры, в которых один и больше в базе64 кодируют строку изображения и публикуют их на моем сайте. Когда я получаю параметр fx, называемый img1, с строкой изображения с кодировкой […]
Я новичок в web security После траты времени на чтение некоторых блогов и сайтов сообщества, таких как SO , я нашел некоторые методы, чтобы быть в безопасности от XSS Attack и SQL Injection Но проблема в том, что большинство вопросов, связанных с безопасностью, очень старые. Итак, мой вопрос: does my following code has any major […]
Возможный дубликат: Каков наилучший метод для дезинфекции пользовательского ввода с помощью PHP? Каковы наилучшие функции деструкции ввода PHP? Конечная чистая / безопасная функция Цель : Правильно дезинфицировать все входы из текстовых полей перед входом в БД, который затем выводится на страницу. Для моего варианта использования мне необходимо предотвратить потенциальные проблемы, не устраняя ввод данных. Кроме […]
Я использую Symfony2 / Twig / Doctrine. Я смотрю на безопасность на своем сайте и, в частности, предотвращаю атаки XSS, но я не вижу, что еще я могу сделать. настойчивый Я использую Doctrine и всегда гарантирую, что я делаю пользовательский ввод безопасным, отказываясь от HTML, веб-адресов и адресов электронной почты и т. Д. (Если применимо, […]
Я использую php 5.4.4, работающий как UTF-8, и я не уверен, что я правильно использую htmlspecialchars. Мои строки / vars выглядят так: $text = "<p><span class='clx'>By:</span> ".htmlspecialchars($foo)."</span></p>"; echo $text; Нужно ли мне использовать ENT_QUOTES или это необходимо только тогда, когда мне нужно что-то повторить внутри, например: href="$foo" or id='$foo' ? Atm, om только с использованием […]
Мне нужно как можно больше предотвращать атаки XSS и централизованно, так что мне не нужно явно дезинфицировать каждый вход. Мой вопрос заключается в том, что лучше всего санировать все входы на уровне обработки URL / запросов, кодировать / дезинфицировать входные данные перед обслуживанием или на уровне презентации (дезактивация продукта)? Какой из них лучше и почему?
Настройки html-очистителя теперь позволяют только эти теги $configuration->set('HTML.Allowed', 'p,ul,ol,li'); Я хочу разрешить отступы списков, и мой редактор использует этот html <ul style="margin-left: 40px;"> Как мне изменить допустимые теги HTMLPurifier? Я думал добавить style , но я думаю, что было бы лучше указать, какой именно стиль разрешен, что в этом случае будет margin-left . Каков правильный […]
Поскольку существует так много допустимых символов для адресов электронной почты, существуют ли какие-либо действительные адреса электронной почты, которые сами по себе могут быть атаками XSS или SQL-инъекциями? Я не мог найти информацию об этом в Интернете. Локальная часть адреса электронной почты может использовать любой из этих символов ASCII: Верхние и строчные английские буквы (a-z, A-Z) […]