Я уже несколько дней охочусь за сетью, пытаясь понять это, но получаю противоречивые ответы. Есть ли библиотека, класс или функция для PHP, которая надежно защищает / кодирует строку против XSS? Он должен регулярно обновляться, чтобы противостоять новым атакам. У меня есть несколько вариантов использования: Случай использования 1) У меня есть текстовое поле, например, для имени […]
Я пишу некоторые сценарии для Expression Engine, и мне сказали, что каждый отдельный фрагмент данных, который мы выводим на страницу, требует «дезинфекции», чтобы предотвратить XSS. Например, здесь я извлекаю все категории из базы данных, сортируя их по массиву и возвращаюсь в Expression Engine. Функция PHP public function categories() { $query = $this->crm_db->select('name, url_name') ->order_by("name", "asc") […]
Я работаю над сайтом, перечисляющим книги, и столкнулся с проблемой фильтрации xss-кода. Когда форма отправляется для создания листинга, любой заголовок, который включает в себя «Javascript:», заменяется на «[УДАЛЕНЫ]». Я попытался получить доступ к данным из массива POST следующим образом: $title = $_POST['title']; чтобы избежать использования класса Input, но он все равно каким-то образом фильтруется. Есть […]
У меня php-код, как этот <?php $input_from_user = "w' onclick = 'alert(document.cookie);'"; $i_am_barcelona_fan = htmlentities($input_from_user); ?> <input type = 'text' name = 'messi_fan' value ='<?php echo $i_am_barcelona_fan;?>' /> Я использую htmlentities для защиты от атаки XSS, но все же я уязвим для этой строки. Почему мой код уязвим для атаки XSS? Как я могу защитить […]
Я добавил простой редактор wysiwyg на моем сайте. (он позволяет только B / I / U – не более) В настоящее время я сохраняю весь контент как html в своей базе данных – но atm просто добавить <a onclick='…'> или другой вредоносный код) Как лучше всего в PHP правильно разбирать вход? Как реализовать <b></b> <i></i> […]
Я использую htmlspecialchars() для предотвращения атак XSS. У меня есть сомнения относительно того, что является лучшим способом хранения данных в базе данных из следующего. Способ 1. Сохраните htmlspecialchars() пользователем значения после применения функции htmlspecialchars() . Используя это, пользовательский ввод "<script>" станет «& lt; script & gt;»; , Способ 2. Сохраните ввод пользователя как есть и […]
TL; DR Класс безопасности CodeIgniters непосредственно управляет вашими глобальными объектами, такими как $_POST и обнаруживает, что file() и file () являются угрозой, поэтому он кодирует HTML. // config.php from my apps folder is the culprit $config['global_xss_filtering'] = TRUE; Сделай сам (несколько, храбрый) В CodeIgniter 2.1.4 перейдите в system/core/security.php и строку # 430-442: /* * Sanitize […]
Я хочу проверить мои данные от пользователя для XSS и SQL-инъекций, и вот как я пытался if (isset($_GET['membernumber'])) { $mem = htmlentities($_GET['membernumber']); $memberparamter = cleanData($mem); } Но какой метод является лучшим / правильным способом проверки? Способ 1 function cleanData($data) { $data=mysql_real_escape_string($data); $data=trim($data); $data=stripcslashes($data); $data=htmlspecialchars($data); $data=strip_tags($data); return $data; } Способ 2 function cleanData($data) { $data=mysql_real_escape_string($data); $data=trim($data); […]
Предотвращает ли XSS действительно то, что я должен запускать htmlspecialchars () КАЖДЫЙ раз я выдаю некоторый ввод пользователя? Например, каждый раз, когда я показываю имя пользователя? Кажется, очень утомительно. Есть ли более простой способ?
в моем проекте пользователь может написать комментарий [plain text] и просмотреть другие комментарии, может удалить собственный комментарий, но не может обновить комментарий! В этом случае, что я должен использовать? Текст или Varchar (4048) ? В чем преимущество и недостаток текста и Varchar (большой, как 4000) ? Является ли он достаточно безопасным, если я заменяю только […]