SORU
16 EYLÜL 2008, Salı


PHP bir sitede xss saldırıları önlemek için en iyi yöntemler nelerdir

Sihirli tırnak üzerinde olan PHP yapılandırılmış ve register global kapalı.

Ben elimden geleni her zaman htmlentities arama yapmak() her şey için kullanıcı giriş türetilen çıktılamak ediyorum.

Ben de zaman zaman ortak işler xss bağlı olarak kullanılan veritabanı arama...

<script

Başka ne yapmam gerekiyor ve ne yapmaya çalıştığım şey olduğundan emin olunher zamanbitti.

CEVAP
16 EYLÜL 2008, Salı


Giriş kaçan başarılı XSS önlenmesi için yapabileceğiniz en iyi şey değildir. Ayrıca çıkış konulmalıdır. Eğer Smarty şablon motoru kullanıyorsanız, |escape:'htmlall' değiştirici HTML varlıkları (yukarıda ad olan |e kendi değiştirici kullanıyorum) tüm hassas karakterleri dönüştürmek için kullanabilirsiniz.

Giriş/çıkış güvenlik için benim yaklaşım

  • kullanıcı girişi değiştirilmiş (DB-farkında yapılması kaçan PDO hazırlanmış deyimleri ile giriş, tek kaçış yok HTML) saklayın
  • çıkış, kullandığınız ne bağlı olarak ve farklı kaçış kuralları HTML JSON gerekir (örn kaçış

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • Adam Khoury

    Adam Khoury

    23 Ocak 2008
  • Feel The Electricity!

    Feel The Ele

    20 ŞUBAT 2010
  • Flohoo

    Flohoo

    12 EYLÜL 2009