если я дезинфицирую свои вставки в БД, а также htmlentities($text, ENT_COMPAT, 'UTF-8') HTML, я пишу htmlentities($text, ENT_COMPAT, 'UTF-8') – есть ли смысл фильтровать входы с помощью xss_clean? Какие еще преимущества он дает?
Я собираю сайт, который сделает его доступным для ввода пользователем. Мне было интересно, писать ли такую функцию, как: if(getenv("HTTP_REFERER") != 'http://www.myURL.com/submitArea'){ die('don\'t be an jerk, ruin your own site'); }else{ // continue with form processing } достаточно для того, чтобы предотвратить подачу материалов в форме кросс-сайта. EDIT: А если нет, то какая наилучшая практика для […]
У меня есть веб-приложения PHP. Я НЕ хочу, чтобы пользователи могли отправлять HTML-сообщения на мой сайт. Если я просто запустил strip_tags () для всех данных до сохранения в моей базе данных, будет ли strip_tags () достаточно, чтобы предотвратить XSS? Я спрашиваю, потому что мне непонятно читать документацию strip_tags, если XSS предотвращается. Кажется, есть некоторая ошибка […]
Я пытаюсь закодировать безопасный и легкий белый-основанный на основе HTML очиститель, который будет использовать DOMDocument. Чтобы избежать ненужной сложности, я готов сделать следующие компромиссы: HTML-комментарии удалены теги script и style разделяются вместе будут возвращены только дочерние узлы тега body все атрибуты HTML, которые могут запускать события Javascript, будут либо проверены, либо удалены Я много читал […]
Я новичок в PHP, но я слышал, что XSS-эксплоиты плохие. Я знаю, что это такое, но как защитить свои сайты?
Я уже знаю, как работает XSS, но выяснить, как много разных способов вводить вредоносный ввод, не является вариантом. Я видел пару библиотек, но большинство из них очень неполные, неопределенные или лицензированные GPL (когда вы, ребята, узнаете, что GPL нехорошо поделиться небольшими библиотеками! Используйте MIT)
Я видел много противоречивых ответов об этом. Многие люди любят цитировать, что только функции php не защитят вас от xss. Что XSS точно может сделать через htmlspecialchars и что может сделать это через htmlentities? Я понимаю разницу между функциями, но не разные уровни защиты xss, с которыми вы остались. Может ли кто-нибудь объяснить?
Если следующие утверждения верны, Все документы подаются с заголовком HTTP Content-Type: text/html; charset=UTF-8 Content-Type: text/html; charset=UTF-8 . Все атрибуты HTML заключены в одиночные или двойные кавычки. В документе нет тегов <script> . есть ли случаи, когда htmlspecialchars($input, ENT_QUOTES, 'UTF-8') (преобразование & , " , ' , < , > в соответствующие именованные объекты HTML) недостаточно […]
Как я могу установить файлы cookie в своих PHP apps как HttpOnly cookies ?
Вопросов: Каковы наилучшие функции safe1 (), safe2 (), safe3 () и safe4 (), чтобы избежать XSS для кодированных страниц UTF8? Это также безопасно во всех браузерах (в частности, IE6)? <body><?php echo safe1($xss)?></body> <body id="<?php echo safe2($xss)?>"></body> <script type="text/javascript"> var a = "<?php echo safe3($xss)?>"; </script> <style type="text/css"> .myclass {width:<?php echo safe4($xss)?>} </style> , Многие говорят, […]