| Autor | Zpráva | ||
|---|---|---|---|
| jannie Profil * |
#1 · Zasláno: 14. 11. 2010, 00:56:32
Zdravím všechny diskutující a pomáhající,
nyní studuji problematiku Cross-site-scriptingu a potřebovala bych ujasnit jednu věc. Pokud mám formulář, kde je jen několik inputů (text) kam uživatel zadává nějaké údaje, po stisknutí submitu se provede php skript (vyloženě jen se seberou hodnoty z proměnných a nacpou se do funkce Mail() a odešlou na email. + je pouze vypsána informace o tom, zda odeslání proběhlo či ne. Existuje nějaké nebezpečí,že bude takovýto jednoudchý formulář napaden/změněn/ukradena data ? I kdyby hacker zadával do inputů nějaký javasript či nějaký jiný škodlivý kod, projeví se to nějak na formuláři? ...Já tedy mám pocit, že ne, ale raději se ptám zkušenějších :) A nebo se XSS týká spíše těch míst, jako diskusní fora atd..? Díky za reakce... |
||
| Chamurappi Profil |
#2 · Zasláno: 14. 11. 2010, 01:00:29
Reaguji na jannie:
Nic nebezpečného v tom nevidím. XSS se týká míst, kde nějaký uživatelský vstup v nezměněné (či v nedostatečně změněné) podobě vypisuješ do stránky. Tedy, když dáš uživateli možnost vepsat do zdrojového kódu tvé stránky řídící znaky HTML (menšítka apod.) a v umožníš mu tak získat nad výsledkem větší kontrolu, než by měl mít. |
||
| jannie Profil * |
#3 · Zasláno: 14. 11. 2010, 01:03:55
Jasné, pak už se to dále řeší htmlspecialchars() atd. ..šlo mi spíše o tyhle jednoduché věci..
tak děkuji. Pokud ještě někoho napdne nějaká věcná připomínka, budu jen ráda :) |
||
|
Časová prodleva: 13 let
|
|||
0