Articles of xss

Безопасная функция очистки XSS (регулярно обновляется)

Я уже несколько дней охочусь за сетью, пытаясь понять это, но получаю противоречивые ответы. Есть ли библиотека, класс или функция для PHP, которая надежно защищает / кодирует строку против XSS? Он должен регулярно обновляться, чтобы противостоять новым атакам. У меня есть несколько вариантов использования: Случай использования 1) У меня есть текстовое поле, например, для имени […]

Требуется ли htmlspecialchars () для вывода ALL?

Я пишу некоторые сценарии для Expression Engine, и мне сказали, что каждый отдельный фрагмент данных, который мы выводим на страницу, требует «дезинфекции», чтобы предотвратить XSS. Например, здесь я извлекаю все категории из базы данных, сортируя их по массиву и возвращаюсь в Expression Engine. Функция PHP public function categories() { $query = $this->crm_db->select('name, url_name') ->order_by("name", "asc") […]

Вводная фильтрация CodeIgniter

Я работаю над сайтом, перечисляющим книги, и столкнулся с проблемой фильтрации xss-кода. Когда форма отправляется для создания листинга, любой заголовок, который включает в себя «Javascript:», заменяется на «[УДАЛЕНЫ]». Я попытался получить доступ к данным из массива POST следующим образом: $title = $_POST['title']; чтобы избежать использования класса Input, но он все равно каким-то образом фильтруется. Есть […]

Почему мой код уязвим для атаки xss?

У меня php-код, как этот <?php $input_from_user = "w' onclick = 'alert(document.cookie);'"; $i_am_barcelona_fan = htmlentities($input_from_user); ?> <input type = 'text' name = 'messi_fan' value ='<?php echo $i_am_barcelona_fan;?>' /> Я использую htmlentities для защиты от атаки XSS, но все же я уязвим для этой строки. Почему мой код уязвим для атаки XSS? Как я могу защитить […]

лучший способ защитить простой wysiwyg с помощью php

Я добавил простой редактор wysiwyg на моем сайте. (он позволяет только B / I / U – не более) В настоящее время я сохраняю весь контент как html в своей базе данных – но atm просто добавить <a onclick='…'> или другой вредоносный код) Как лучше всего в PHP правильно разбирать вход? Как реализовать <b></b> <i></i> […]

лучше ли убеждать / закодировать пользовательский ввод, прежде чем хранить его в базе данных или сохранить его, как он есть в базе данных, и избежать его при извлечении?

Я использую htmlspecialchars() для предотвращения атак XSS. У меня есть сомнения относительно того, что является лучшим способом хранения данных в базе данных из следующего. Способ 1. Сохраните htmlspecialchars() пользователем значения после применения функции htmlspecialchars() . Используя это, пользовательский ввод "<script>" станет «& lt; script & gt;»; , Способ 2. Сохраните ввод пользователя как есть и […]

Некоторые символы, закодированные во время POST, в то время как другие

TL; DR Класс безопасности CodeIgniters непосредственно управляет вашими глобальными объектами, такими как $_POST и обнаруживает, что file() и file () являются угрозой, поэтому он кодирует HTML. // config.php from my apps folder is the culprit $config['global_xss_filtering'] = TRUE; Сделай сам (несколько, храбрый) В CodeIgniter 2.1.4 перейдите в system/core/security.php и строку # 430-442: /* * Sanitize […]

Как предотвратить внедрение XSS и SQL

Я хочу проверить мои данные от пользователя для XSS и SQL-инъекций, и вот как я пытался if (isset($_GET['membernumber'])) { $mem = htmlentities($_GET['membernumber']); $memberparamter = cleanData($mem); } Но какой метод является лучшим / правильным способом проверки? Способ 1 function cleanData($data) { $data=mysql_real_escape_string($data); $data=trim($data); $data=stripcslashes($data); $data=htmlspecialchars($data); $data=strip_tags($data); return $data; } Способ 2 function cleanData($data) { $data=mysql_real_escape_string($data); $data=trim($data); […]

Предотвращение XSS с PHP

Предотвращает ли XSS действительно то, что я должен запускать htmlspecialchars () КАЖДЫЙ раз я выдаю некоторый ввод пользователя? Например, каждый раз, когда я показываю имя пользователя? Кажется, очень утомительно. Есть ли более простой способ?

varchar vs text – MySQL

в моем проекте пользователь может написать комментарий [plain text] и просмотреть другие комментарии, может удалить собственный комментарий, но не может обновить комментарий! В этом случае, что я должен использовать? Текст или Varchar (4048) ? В чем преимущество и недостаток текста и Varchar (большой, как 4000) ? Является ли он достаточно безопасным, если я заменяю только […]

Intereting Posts
подсчет строк в таблице html с использованием php как играть музыку в фоновом режиме на разных страницах RewriteRule, создающий 500 внутренних ошибок сервера Редактировать сеанс других пользователей в PHP В magento 1.9.0.0 как можно включить подсказку с шаблоном? В чем разница между обновлением композитора и установкой композитора? Раздражающая ошибка PHP: «Строгие стандарты: только переменные должны передаваться по ссылке в" У меня есть png, закодированный base64, как написать образ в файл на PHP? Использование mysql_real_escape_string с PDO (без подключения к локальному серверу) PHP – печать всех операторов, выполняемых в скрипте командной строки PHP? PHP импортирует CVS-файл в MySql Laravel – модель запроса, если значения содержат определенную строку (взятую из ввода поиска) PHPUnit, интерфейсы и пространства имен (Symfony2) неожиданное «использование» (T_USE) при попытке использовать композитор отправить сообщение в телеграмме бот