Я ищу простую библиотеку PHP, которая помогает фильтровать уязвимости XSS в выводе PHP Markdown. IE PHP Markdown будет анализировать такие вещи, как: [XSS Vulnerability](javascript:alert('xss')) Я занимаюсь чтением, и лучшее, что я нашел здесь, было именно этим вопросом. Хотя HTML-очиститель выглядит как лучшее ( почти единственное ) решение, мне было интересно, есть ли что-нибудь более общее? […]
Мне нужно создать форму, действие которой возвращает вас к той же самой странице – включены параметры GET. Я думаю, что могу сказать что-то вроде: echo '<form action="'.$_SERVER['SCRIPT_NAME'].'?'.$_SERVER['QUERY_STRING']. '" method="post">' Кажется, что это работает, и тестирование прохождения пары XSS-атак кажется успешным, поскольку вывод QUERY_STRING, похоже, кодируется URL. Однако в документации PHP это не упоминается, поэтому я […]
У меня PHP настроен так, что магические кавычки включены, и регистрация глобальных переменных отключена. Я делаю все возможное, чтобы всегда вызывать htmlentities () для всего, что я выводил, который получен из пользовательского ввода. Я также иногда просматриваю свою базу данных для общих вещей, используемых в xss, таких как … <script Что еще я должен делать, […]
Я ищу лучшие практики для выполнения строгой (whitelist) проверки / фильтрации представленного пользователем HTML. Основная цель – отфильтровать XSS и аналогичные nasties, которые могут быть введены через веб-формы. Вторичная цель – ограничить поломку содержимого HTML, введенного нетехническими пользователями, например, с помощью редактора WYSIWYG, который имеет вид HTML. Я рассматриваю возможность использования HTML-очистителя , или сворачиваю […]
Какие дыры в безопасности могут появляться на моем сайте, включая внешние изображения через тег img и как их избежать? В настоящее время я проверяю только изображение с расширением и mime-type при отправке (которое можно изменить после URL ), а URL очищается, прежде чем поместить его в атрибут src .
Ранее сегодня был задан вопрос относительно стратегий проверки ввода в веб-приложениях . Главный ответ, на момент написания, предлагает в PHP просто использовать htmlspecialchars и mysql_real_escape_string . Мой вопрос: это всегда достаточно? Больше мы должны знать? Где эти функции ломаются?
Существует ли известная XSS или другая атака, которая $content = "some HTML code"; $content = strip_tags($content); echo $content; ? В руководстве есть предупреждение: Эта функция не изменяет никаких атрибутов в тегах, которые вы разрешаете использовать allowable_tags, включая атрибуты стиля и onmouseover, которые может оскорбительный пользователь может злоупотреблять при публикации текста, который будет показан другим пользователям. […]
У меня есть текстовое поле, где пользователь может написать статью. Статья может содержать текст (жирный и курсив), ссылки и видеоролики YouTube. Как разрешить эти определенные теги html и по-прежнему отправлять безопасный код, предотвращающий xss?
У меня много пользовательских входов от $_GET и $_POST … На данный момент я всегда пишу mysql_real_escape_string($_GET['var']) .. Я хотел бы знать, можно ли сделать функцию, которая обеспечивает, ускоряет и очищает массивы $_GET / $_POST сразу, поэтому вам не придется иметь дело с этим каждый раз, когда вы работаете с пользовательскими входами и т. Д. […]
Таким образом, предотвращение веб-сайта от атаки XSS очень просто, вам просто нужно использовать функцию htmlspecialchars и вы хороши. Но если разработчик забыл использовать его, что может сделать злоумышленник / хакер? Он может получить ваш session_id, не так ли? И вот вопрос. Что он может с этим сделать? Большое спасибо.