Autor | Zpráva | ||
---|---|---|---|
Sirius Profil |
#1 · Zasláno: 1. 9. 2010, 14:06:50 · Upravil/a: Sirius
Zdravím,
mám přihlašovací formulář, kde se v případě neúspěšného přihlášení předvyplní naposledy zadané jméno uživatele. Výstup do pole mám ošetřený pomocí htmlspecialchars(). Testoval jsem přihlašovací stránku pomocí firefox pluginu XSS Me a ten mi neustále hlásí, že znaky ; \ / ' = Jak to mám ošetřit? Nebo htmlspecialchars() opravdu stačí a nemám tomu varování věnovat pozornost? |
||
Jan Tvrdík Profil |
#2 · Zasláno: 1. 9. 2010, 15:17:07
Sirius:
htmlspecialchars($text, 'ENT_QUOTES') by mělo být dostatečnou ochranou.
|
||
Yur4Y Profil |
#3 · Zasláno: 1. 9. 2010, 16:47:44
Jan Tvrdík:
Apostrofy tam nepatria, ENT_QUOTES je konštanta. Navyše to neošetruje spätné lomítka. |
||
Sirius Profil |
#4 · Zasláno: 1. 9. 2010, 17:58:42
A lomítka jsou hrozbou, když nelze použít < > "" '' ?
|
||
Joker Profil |
#5 · Zasláno: 1. 9. 2010, 18:31:46
Sirius:
Pokud jde jen o HTML, lomítka nevadí. |
||
Sirius Profil |
#6 · Zasláno: 1. 9. 2010, 18:49:42
Pokud je tím myšleno, že mi tam nikdo nespustí pomocí toho pole žádnej JS, tak jsem spokojen.
Díky všem za pomoc. |
||
Časová prodleva: 6 měsíců
|
|||
Maro Profil * |
#7 · Zasláno: 15. 2. 2011, 23:35:39
Čaute,
používam takéto nejaké ošetrenie: (časť fcie) $value = htmlspecialchars($value, ENT_QUOTES); $value = str_replace("'","& #39;",$value); $value = str_replace("\\","\\\\",$value); $value = str_replace("%","& #37;",$value); $value = trim($value); pre $_POST, $_GET, $_COOKIE, $_SESSION. A pre znaky ; \ / = Neviete prosím, v čom to môže byt? Ďakujem. |
||
Časová prodleva: 13 let
|
0