Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [PHP]Jak najlepiej zabezpieczyć stronę przed atakami XSS i CSRF?
-Gość-
post
Post #1





Goście
Czy taki kod:

[PHP] pobierz, plaintext 
  1. if (!empty($_POST)) array_walk_recursive($_POST, 'CleanTags');
  2. if (!empty($_GET)) array_walk_recursive($_GET, 'RemoveXSS');
  3. if (!empty($_COOKIE)) array_walk_recursive($_COOKIE, 'CleanTags');
  4. if (!empty($_SERVER)) array_walk_recursive($_SERVER, 'CleanTags');
  5. if (!empty($_SESSION)) array_walk_recursive($_SESSION, 'CleanTags');
  6. if (!empty($_REQUEST)) array_walk_recursive($_REQUEST, 'CleanTags');
  7.  
  8. function CleanTags(&$val, $index) {
  9.    $val = strip_tags($val);
  10. }
[PHP] pobierz, plaintext


jest dobrym zabezpieczeniem przede XSS i CSRF? Czy można to zrobić jakoś lepiej?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
wNogachSpisz
post
Post #2





Grupa: Zarejestrowani
Postów: 1 233
Pomógł: 87
Dołączył: 6.03.2009

Ostrzeżenie: (40%)
XX---

Strona nie musi być podana na XSS żeby możliwe było przeprowadzenie ataku CSRF.
Nawet na forum php.pl można przeprowadzić niegroźny atak CSRF. Mogę np. spowodować, że Twoj login pojawi się na liście odwiedzjących mój profil. Wystarczy obrazek w treści posta który przekieruje na odpowiedni URL.

Ten post edytował wNogachSpisz 1.08.2012, 14:57:59
Go to the top of the page
+Quote Post

Posty w temacie
- Gość   [PHP]Jak najlepiej zabezpieczyć stronę przed atakami XSS i CSRF?   1.08.2012, 10:43:22
- - Gość   W drugiej linijce chciałem oczywiście napisać: if ...   1.08.2012, 10:44:30
- - wNogachSpisz   http://forum.php.pl/index.php?showtopic=189410   1.08.2012, 11:30:01
- - Gość   A czy ten sposób, który podałem nie jest dobry?   1.08.2012, 11:50:44
- - wNogachSpisz   Cytat(Gość @ 1.08.2012, 12:50:44 ) A ...   1.08.2012, 12:33:39
- - Gość   Ale przecież ten kod usuwa wszystkie znaczniki jak...   1.08.2012, 12:56:51
- - wNogachSpisz   Eee. Mylisz pojęcia. http://pl.wikipedia.org/wiki...   1.08.2012, 12:58:24
- - Gość   Tak, z tego co teraz doczytałem najważniejsze w oc...   1.08.2012, 14:16:25
- - wNogachSpisz   Strona nie musi być podana na XSS żeby możliwe był...   1.08.2012, 14:19:04
- - Gość   Pozostaje kwestia w jaki sposób przechowywać token...   4.08.2012, 22:30:04
- - CuteOne   Odpowiedź jest dość prosta - wszelkie akcje typu ...   4.08.2012, 23:17:14
- - Gość   No ale jeżeli np. po zalogowaniu w panelu użytkown...   5.08.2012, 09:34:58
- - !*!   Cytat(Gość @ 5.08.2012, 10:34:58 ) No...   5.08.2012, 10:14:12

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 17.10.2025 - 11:31
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn