У меня были проблемы с XSS. В частности, у меня было индивидуальное предупреждение JS, показывающее, что у моего ввода были уязвимости. Я провел исследования по XSS и нашел примеры, но по какой-то причине я не могу заставить их работать. Могу ли я получить примеры XSS, которые я могу использовать для ввода, и когда я возвращаю […]
Я пытаюсь сделать мой PHP максимально безопасным, и две основные вещи, которые я пытаюсь избежать, – это Инъекции mySQL Скрипты с поперечной стороны (XSS) Это сценарий, который я получил против mySQL Injections: function make_safe($variable) { $variable = mysql_real_escape_string(trim($variable)); return $variable; } http://www.addedbytes.com/writing-secure-php/writing-secure-php-1/ Против XSS я нашел следующее: $username = strip_tags($_POST['username']); Теперь я хочу объединить их […]
Я ищу полный список рекомендаций по безопасности для программирования и развертывания веб-сайтов и приложений PHP на сервере Apache (Linux). В принципе, «список проверок безопасности» должен пройти до завершения проекта. То есть, Скрипты для сайта Подделка запросов на межсайтовый запрос Санизировать данные формы, поступающие в базу данных Отключить глобальные регистры регистров и отчеты об ошибках в […]
Хотя межсайтовый скриптинг обычно считается отрицательным, я столкнулся с несколькими ситуациями, когда это необходимо. Недавно я работал в рамках очень ограниченной системы управления контентом. Мне нужно было включить код базы данных на странице, но сервер хостинга не имел ничего доступного. Я установил пару скриптов на моем собственном сервере, изначально думая, что могу использовать AJAX для […]
Предположим, что у нас есть эта форма, и возможная часть для пользователя, которая вводит вредоносный код, приведена ниже … <input type=text name=username value= <?php echo htmlspecialchars($_POST['username']); ?>> … Мы не можем просто поместить тег или javascript: alert (); call, потому что значение будет интерпретироваться как строка, а htmlspecialchars отфильтровывает <,>, ', ", поэтому мы не […]
Как предотвратить XSS (межсайтовый скриптинг), используя только HTML и PHP? Я видел множество других сообщений по этой теме, но я не нашел статью, в которой ясно и кратко говорится о том, как фактически предотвратить XSS.
Я ищу простую библиотеку PHP, которая помогает фильтровать уязвимости XSS в выводе PHP Markdown. IE PHP Markdown будет анализировать такие вещи, как: [XSS Vulnerability](javascript:alert('xss')) Я занимаюсь чтением, и лучшее, что я нашел здесь, было именно этим вопросом. Хотя HTML-очиститель выглядит как лучшее ( почти единственное ) решение, мне было интересно, есть ли что-нибудь более общее? […]
Мне нужно создать форму, действие которой возвращает вас к той же самой странице – включены параметры GET. Я думаю, что могу сказать что-то вроде: echo '<form action="'.$_SERVER['SCRIPT_NAME'].'?'.$_SERVER['QUERY_STRING']. '" method="post">' Кажется, что это работает, и тестирование прохождения пары XSS-атак кажется успешным, поскольку вывод QUERY_STRING, похоже, кодируется URL. Однако в документации PHP это не упоминается, поэтому я […]
У меня PHP настроен так, что магические кавычки включены, и регистрация глобальных переменных отключена. Я делаю все возможное, чтобы всегда вызывать htmlentities () для всего, что я выводил, который получен из пользовательского ввода. Я также иногда просматриваю свою базу данных для общих вещей, используемых в xss, таких как … <script Что еще я должен делать, […]
Я ищу лучшие практики для выполнения строгой (whitelist) проверки / фильтрации представленного пользователем HTML. Основная цель – отфильтровать XSS и аналогичные nasties, которые могут быть введены через веб-формы. Вторичная цель – ограничить поломку содержимого HTML, введенного нетехническими пользователями, например, с помощью редактора WYSIWYG, который имеет вид HTML. Я рассматриваю возможность использования HTML-очистителя , или сворачиваю […]