Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [php][javascript] xss a htmlspecialchars
bmL
post
Post #1





Grupa: Zarejestrowani
Postów: 301
Pomógł: 25
Dołączył: 15.07.2007
Skąd: Olsztyn

Ostrzeżenie: (0%)
-----

Witam, ostatnimi czasu znajomy powiedział mi że htmlspecialchars nie jest wystarczającym zabezpieczeniem przeciw atakom XSS. Niestety on sam nie może znaleźć źródła tekstu który o tym traktował a swoją opinię aktualnie opiera jedynie na tym że popularne frameworki korzystają z własnych systemów filtrowania, zamiast robić używając htmlspecialchars.
Tak więc moje pytanie brzmi czy istnieje możliwość wykonania ataku XSS niech to będzie dla przykładu alert('test') nie koniecznie atak ale kod js.

[PHP] pobierz, plaintext 
  1. <form method="post" action="index.php">
  2. <input type="text" name="txt" />
  3. <input type="submit" value="sprawdz" />
  4. </form>
  5.  
  6. <?php
  7. if(isset($_POST['txt'])
  8.    echo htmlspecialchars($_POST['txt']);
  9. ?>
[PHP] pobierz, plaintext


--------------------
Tutaj miał być jakiś mądry tekst. Miał być... No ale jest głupi tekst.
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
bełdzio
post
Post #2





Grupa: Zarejestrowani
Postów: 690
Pomógł: 81
Dołączył: 6.04.2005
Skąd: Szczecin

Ostrzeżenie: (0%)
-----

oczywiście, że istnieje smile.gif wystarczy pobawić się atrybutami smile.gif => http://www.beldzio.com/xss-w-serwie-wirtualnej-polski


--------------------
Let's Rock! - Agencja interaktywna dla wymagających

O tworzeniu (bezpiecznych) aplikacji internetowych
Go to the top of the page
+Quote Post

Posty w temacie
- bmL   [php][javascript] xss a htmlspecialchars   14.10.2009, 23:23:38
- - rezik   to Twój znajomy taką informację chyba z kieszeni w...   15.10.2009, 17:26:57
- - bełdzio   oczywiście, że istnieje wystarczy pobawić się atr...   15.10.2009, 17:32:47
- - bmL   W sumie myślałem o takim sposobie ale uważałem to ...   15.10.2009, 18:33:00
|- - bełdzio   Cytat(bmL @ 15.10.2009, 19:33:00 ) Cz...   15.10.2009, 19:08:03
- - bmL   Ale nikt nie pakuje raczej zmiennych do "onmo...   16.10.2009, 11:25:34

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 19.08.2025 - 17:01
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn