Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Wstrzykniecie JavaScriptu - jak temu zapobiec?
collecter
post
Post #1





Grupa: Zarejestrowani
Postów: 24
Pomógł: 0
Dołączył: 22.10.2010

Ostrzeżenie: (0%)
-----

Witam,

od pewnego czasu ucze sie obiektowego php, tworzac wlasna strone internetowa. Jakie bylo moje zdziwienie gdy dzisiaj przestala ona poprawnie funkcjonowac. Strona odswieza sie sama co sekunde, co uniemozliwa jej poprawne funkcjonowanie. Po zweryfikowaniu kodu zrodlowego stronu zobaczylem nastepujacy kod:

<script type="text/javascript">
window.setTimeout("window.location.replace(ADRES_STRONY');",1);
</script>

Slyszalem o atakach XSS, ale nigdy ze tak powiem nie doswiadczylem tego na wlasnej skorze:) Z tego powodu chcialbym sie zapytac bardziej doswiadczonych kolegow jak temu zapobiec?

pozdrawiam
d
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
lobopol
post
Post #2





Grupa: Zarejestrowani
Postów: 1 729
Pomógł: 346
Dołączył: 4.04.2009

Ostrzeżenie: (0%)
-----

Prawda jest taka, że jeżeli nie puścisz htmlspecialcharsa lub nie pozbędziesz się wszystkich złych znaków, to użytkownik może ci zrobić ze stroną wszystko, np. umieścić iframe zasłaniający całą treść. Albo wykraść ciasteczka twojej strony, albo robić redirecta. W zasadzie nie powinieneś nigdy dopuścić aby użytkownik mógł sam wstawiać jakikolwiek tag html czy skrypt.
Go to the top of the page
+Quote Post

Posty w temacie
- collecter   Wstrzykniecie JavaScriptu - jak temu zapobiec?   4.11.2011, 17:41:18
- - pyro   Szukając na forum.   4.11.2011, 17:44:43
- - zegarek84   to zależy, na jakie wprowadzanie tekstu chcesz poz...   4.11.2011, 17:50:32
- - lobopol   Prawda jest taka, że jeżeli nie puścisz htmlspecia...   4.11.2011, 18:05:50
- - Niktoś   Ja spojrzałem na przykłady ataków i był taki specy...   4.11.2011, 18:11:06
- - lobopol   Tak, ale szybciej było chyba sprawdzić co?   4.11.2011, 18:24:35
- - cudny   Ehh, zawsze dodaje się do widoków edytowanych prze...   4.11.2011, 22:14:27
- - lukaskolista   Cudny, jestes hardcorem! Zapytan do bazy sie t...   5.11.2011, 09:35:30
- - cudny   Cytat(lukaskolista @ 5.11.2011, 09:35...   5.11.2011, 11:14:17
- - adam882   długo używałem takiego rozwiązania, jakie podał @c...   5.11.2011, 11:21:50
- - lukaskolista   CytatOczywiście sam używam mysql_real_escape_strin...   5.11.2011, 18:24:45

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 8.10.2025 - 22:58
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn