Это было задано раньше, но мне нужна 100% ясность по этому вопросу, так как для меня очень важно, чтобы все было правильно. Ситуация: система сообщений на веб-сайте. Пользователь вводит сообщение в текстовое поле, он передает форму и вводится в базу данных. Эти данные затем могут вызываться из базы данных и отображаться в тегах <span> другому […]
При выводе пользовательского ввода вы используете только htmlspecialchars() или есть функции / действия / методы, которые вы также запускаете? Я ищу что-то, что будет иметь дело с XSS. Мне интересно, следует ли мне написать функцию, которая избегает ввода пользователем на выходе или просто использует htmlspecialchars() . Я ищу общие случаи, а не конкретные случаи, которые […]
Я использую HTML Purifier для защиты своего приложения от атак XSS. В настоящее время я очищаю контент от редакторов WYSIWYG, потому что это единственное место, где пользователям разрешено использовать разметку XHTML. Мой вопрос: должен ли я использовать HTML Purifier также по имени пользователя и паролю в системе аутентификации входа (или в поля ввода страницы регистрации, […]
У меня есть следующая форма, которую пользователи заполняют: <form name="form" action="" method="POST"> <table width="100%" border="0" cellpadding="2" cellspacing="2"> <tr> <td width="25%" ><div align="right"><strong>Name:</strong></div></td> <td width="75%" ><span id="sprytextfield1"> <input id="Cname"name="Name" type="text" placeholder="Please fill in your name"> <span class="textfieldRequiredMsg">A value is required.</span></span></td> </tr> <tr> <td><div align="right"><strong>Email:</strong></div></td> <td><span id="sprytextfield2"> <input id="Cemail"name="email" type="text" placeholder="eg sales@company.co.uk"> <span class="textfieldRequiredMsg">A value is required.</span><span […]
Я знаю, что этот вопрос задавали снова и снова, но я до сих пор не нашел идеального ответа по своему вкусу, так что вот он снова … Я читал много и много поляризующих комментариев о Css xss_filter. В основном большинство говорит, что это плохо. Может кто-то уточнить, насколько это плохо или, по крайней мере, дать […]
Я кодирую ширину редактора WYSIWYG designMode = "on" в iframe. Редактор отлично работает, и я сохраняю код как есть в базе данных. Перед выдачей html мне нужно «очистить» php на стороне сервера, чтобы избежать межсайтового скриптинга и других страшных вещей. Есть ли какая-то лучшая практика в том, как это сделать? Какие теги могут быть опасными? […]
Возможный дубликат: Каковы наилучшие методы для предотвращения атак xss на PHP-сайте Мне нужно предотвратить атаки XSS в PHP-коде, нет ли здесь хорошей и простой библиотеки?
У меня есть текстовое поле формы, которое принимает URL-адрес. Когда форма отправлена, я вставляю это поле в базу данных с надлежащей анти-sql-инъекцией. Мой вопрос, хотя и о xss. Это поле ввода является URL-адресом, и мне нужно его снова отобразить на странице. Как защитить его от xss на пути в базу данных (я думаю, что ничего […]
Я разработчик PHP, и я хочу улучшить безопасность своих сайтов. Насколько я понимаю, это два основных типа уязвимостей, которые влияют на веб-приложения: SQL-инъекция XSS SQL Injection может быть исправлена с помощью подготовленных операторов – легко. Но я по-прежнему не получаю XSS – это следующий пример XSS? … Страница полного пользовательского контента имеет форму входа в […]
Я спрашивал себя о безопасности использования функции php htmlentities () от атак XSS и, возможно, связанных функций, таких как htmlspecialchars. большое спасибо 🙂