Autor Zpráva
Dominik Skála
Profil
#1 · Zasláno: 4. 6. 2015, 18:05:58 · Upravil/a: Dominik Skála o okamžik později
Odpovědět Citovat
Dobrý den,
jak mám ošetřit skripty proti XSS, SQL injection, apod.?
Existuje na to nějaký skript či návod?
lionel messi
Profil
#2 · Zasláno: 4. 6. 2015, 18:28:59 · Upravil/a: lionel messi o okamžik později
Odpovědět Citovat
Dominik Skála:
Ochranou pred XSS je nahradenie všetkých znakov so špecifickým významom v HTML im zodpovedajúcimi entitami. To zabezpečí PHP funkcia htmlspecialchars. Používaj ju vždy, keď vypisuješ užívateľský vstup do stránky (ideálne je zavolať ju až pri výpise).

Voči SQL injection sa môžeš brániť použitím vhodných escapovacích funkcii. V prípade MySQLi ide o mysqli_real_escape_string (alebo jej objektovú variantu), ktoré treba zavolať pred ukladaním užívateľského vstupu do db. Môžeš použiť aj prepared statements, čítal som však, že ich použitie nie je 100% ochranou. Automatické escapovanie je aj súčasťou rozhrania PDO.
Dominik Skála
Profil
#3 · Zasláno: 4. 6. 2015, 18:35:45 · Upravil/a: Dominik Skála o minutu později
Odpovědět Citovat
lionel messi:
Ochranou pred XSS je nahradenie všetkých znakov so špecifickým významom v HTML im zodpovedajúcimi entitami. To zabezpečí PHP funkcia htmlspecialchars. Používaj ju vždy, keď vypisuješ užívateľský vstup do stránky (ideálne je zavolať ju až pri výpise).

Takže pokud to dobře chápu, tak skript, který je v odkazu na stránku, kterou jste vkládal, zkopíruji do každé stránky?
Alphard
Profil
#4 · Zasláno: 4. 6. 2015, 19:06:03
Odpovědět Citovat
Escapování - definitivní příručka » phpFashion

tak skript, který je v odkazu na stránku, kterou jste vkládal, zkopíruji do každé stránky
Ne, univerzální řešení neexistuje. Vždy se escapuje pro nějaký kontext.
Časová prodleva: 9 let

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm:

0