Autor | Zpráva | ||
---|---|---|---|
Dominik Skála Profil |
Dobrý den,
jak mám ošetřit skripty proti XSS, SQL injection, apod.? Existuje na to nějaký skript či návod? |
||
lionel messi Profil |
Dominik Skála:
Ochranou pred XSS je nahradenie všetkých znakov so špecifickým významom v HTML im zodpovedajúcimi entitami. To zabezpečí PHP funkcia htmlspecialchars. Používaj ju vždy, keď vypisuješ užívateľský vstup do stránky (ideálne je zavolať ju až pri výpise). Voči SQL injection sa môžeš brániť použitím vhodných escapovacích funkcii. V prípade MySQLi ide o mysqli_real_escape_string (alebo jej objektovú variantu), ktoré treba zavolať pred ukladaním užívateľského vstupu do db. Môžeš použiť aj prepared statements, čítal som však, že ich použitie nie je 100% ochranou. Automatické escapovanie je aj súčasťou rozhrania PDO. |
||
Dominik Skála Profil |
lionel messi:
„Ochranou pred XSS je nahradenie všetkých znakov so špecifickým významom v HTML im zodpovedajúcimi entitami. To zabezpečí PHP funkcia htmlspecialchars. Používaj ju vždy, keď vypisuješ užívateľský vstup do stránky (ideálne je zavolať ju až pri výpise).“ Takže pokud to dobře chápu, tak skript, který je v odkazu na stránku, kterou jste vkládal, zkopíruji do každé stránky? |
||
Alphard Profil |
#4 · Zasláno: 4. 6. 2015, 19:06:03
Escapování - definitivní příručka » phpFashion
„tak skript, který je v odkazu na stránku, kterou jste vkládal, zkopíruji do každé stránky“ Ne, univerzální řešení neexistuje. Vždy se escapuje pro nějaký kontext. |
||
Časová prodleva: 9 let
|
0