הגנה מפני XSS

תגובות

פתח soogo , 02 לאוקטובר 2012

כדי להגן מפני XSS סך הכל צריך לשים לכל input את הפונקצייה strip_tags ?

10 תשובות

ענה iiddaannyy ב 02 לאוקטובר 2012 #

strip_tags תמחוק חלק מהקלט. לא משתמשים בה בשביל זה.
htmlspecialchars תסנן את התווים הלא-רצויים.

ענה raslin ב 02 לאוקטובר 2012 #

htmlentities

ענה soogo ב 02 לאוקטובר 2012 #

השתמשתי ב htmlspecialchars וגם ב htmlentities כתבתי באינפוט

<script>alert('text')</script>

והפונקצייה לא מחקה לי את התגים

ענה raslin ב 02 לאוקטובר 2012 #

היא לא מוחקת את התווים בהדפסה, היא רק גורמת לזה שזה לא ירוץ כסקריפט אלא פשוט יכתוב את זה כטקסט רגיל

ענה soogo ב 02 לאוקטובר 2012 #

אבל ברגע שהתוכן נשמר במסד כבר אין לי את הפונקצייה אז הסקריפט כן יכול לרוץ

ענה iiddaannyy ב 02 לאוקטובר 2012 #

אתה מכניס את הקלט כמו שהוא למסד. בלי htmlspecialchars.
אחרי שאתה פאתה מוציא אותו מהמסד ופולט אותו למשתמש אתה משתמש ב-htmlspecialchars.

ענה soogo ב 02 לאוקטובר 2012 #

אני עדיין לא מבין אך זה שהסקריפט לא רץ

ענה raslin ב 02 לאוקטובר 2012 #

הסקריפט לא יכול להריץ בצורה שהראיתי

ענה soogo ב 02 לאוקטובר 2012 #

אבל למה הוא לא יכול לרוץ?

ענה iiddaannyy ב 02 לאוקטובר 2012 #

כי זה נהפך לזה:

&lt;script&gt;alert('text')&lt;/script&gt

ספר חינם על MVC שאתה הולך להוריד כי אם אתה רוצה ללמוד על ארגון קוד יעיל ומודרני באתרים כמו זה או פייסבוק או כי כולם אוהבים להוריד דברים איכותיים בחינם מהאינטרנט

ספר הלימוד - תכנות מונחה עצמים מאפס שסוף סוף ילמד אותך פיתוח מונחה עצמים נכון בצורה פשוטה, יענה על כל השאלות ויכין אותך לרעיונות עבודה.

קורס בדיקות יחידה phpunit שיעזור לך להקטין בחצי את כמות הבאגים, את כאב הראש והזמן המבוזבז על פתירתם

קורס mysql אינטרקטיבי שיייקח אותך צעד אחר צעד למומחה שאילתות mysql לייב

האתר ב-readonly
תודה לכל מי שתרם, ענה, שאל, כתב, לימד ועזר במשך השנים
orelbey, splash, raslin, cayce, iiddaannyy, michael, kingyes, ilikeme, itamarhadad, iosolidar, jbstyle
- alex@הדומיין הזה