Autor | Zpráva | ||
---|---|---|---|
Musilda Profil |
#1 · Zasláno: 10. 12. 2008, 20:49:46
Mám takový menší problém.
Už druhý den čtu různé články o xss a zatím jsem nepochopil co všechno mám ošetřit funkcí htmlspecialchars. Pouze výstupy z $_GET, $_POST a $_SESSION, nebo i toto: <a href=\"index.php?page=clanky\">. Prosím o radu, nějak se v tom plácám. |
||
Nox Profil |
#2 · Zasláno: 10. 12. 2008, 20:51:34
Podle mě při vypisování (echo) dat, které měl možnost někdo vložit do databáze
např. echo htmlspecialchars($p["text_prispevku_knihy_navstev"]); Možná to někdo popíše lépe... |
||
Majkl578 Profil |
#3 · Zasláno: 10. 12. 2008, 20:51:43 · Upravil/a: Majkl578
svuj kod ne, znefunkcil by sis sve html, ktere by s prevedenymi <> neslo. osetruj jen takove veci, ktere muzou a take prichazeji od uzivatelu (napr. guestbooky, shoutboxy apod).
edit: jsem pomaly :/ |
||
krteczek Profil |
#4 · Zasláno: 11. 12. 2008, 00:01:42
<reklama>
nebo používej Texy (nebo Texylu => texy + nastavení + editor) na formátování kódu z takových zdrojů. Při safeMode (u texyly = 'forum') automaticky toto ošetřuje. Nastavením lze provést dle svch potřeb </reklama> ;) |
||
šneky Profil * |
#5 · Zasláno: 11. 12. 2008, 14:09:25
Funkcí htmlcpecialchars by jsi měl ošetřovat vstupní data do databáze a pro jistotu i vystupní ata z databáze, aby byla jistota za všech okolnosti, že se ti tma nedostane jeden z tech znaků. která tato funkce p řevadí...
odkazy nemusis osetrovat ... pokud neprevadi promene pres get na druho ustranku |
||
Časová prodleva: 15 let
|
0