Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Reply to this topicStart new topic
> Zapezbieczanie się przed XSS oraz innego typu...
AndyPSV
post 6.08.2004, 14:20:37
Post #1





Grupa: Zarejestrowani
Postów: 393
Pomógł: 5
Dołączył: 6.02.2003
Skąd: The.Luciferian.Doctrine.p
df

Ostrzeżenie: (30%)
XX---

Da się całkowicie zabezpieczyć przed atakami XSS oraz SQL injection, filtrująć każdą zmienną GET i POST.

Przykładowo:

[PHP] pobierz, plaintext 
  1. <?php
  2.  
  3. foreach ($_GET as $value) {
  4. if ((eregi(&#092;"<[^>]*script*\"?[^>]*>\", $value)) ||
  5. (eregi(&#092;"<[^>]*object*\"?[^>]*>\", $value)) ||
  6. (eregi(&#092;"<[^>]*iframe*\"?[^>]*>\", $value)) ||
  7. (eregi(&#092;"<[^>]*applet*\"?[^>]*>\", $value)) ||
  8. (eregi(&#092;"<[^>]*meta*\"?[^>]*>\", $value)) ||
  9. (eregi(&#092;"<[^>]*style*\"?[^>]*>\", $value)) ||
  10. (eregi(&#092;"<[^>]*form*\"?[^>]*>\", $value)) ||
  11. (eregi(&#092;"([^>]*\"?[^)]*)\", $value)) ||
  12. (eregi(&#092;"\"\", $value)) ||
  13. (eregi(&#092;"'\", $value)) ||
  14. (eregi(&#092;"<[^>]*\", $value)) ||
  15. (eregi(&#092;"[^>]>\", $value)) ||
  16. (eregi(&#092;"*\", $value)) ||
  17. (eregi(&#092;"[]]\", $value)) ||
  18. (eregi(&#092;"select\", $value)) ||
  19. (eregi(&#092;"0x73656c656374\", $value)) ||
  20. (eregi(&#092;";\", $value)) ||
  21. (eregi(&#092;"--\", $value)) ||
  22. (eregi(&#092;"@\", $value)) ||
  23. (eregi(&#092;"/\", $value)) ||
  24. (eregi(&#092;"%\", $value))
  25. )
  26. {
  27. ..
  28. }
  29. }
  30.  
  31. foreach ($_POST as $value) {
  32. if ((eregi(&#092;"<[^>]*script*\"?[^>]*>\", $value)) ||
  33. (eregi(&#092;"<[^>]*style*\"?[^>]*>\", $value)))
  34. {
  35. ..
  36. }
  37. }
  38.  
  39. ?>
[PHP] pobierz, plaintext

.

Jednak owo filtrowanie można ominąć w bardzo prosty sposób.
Podająć wartość $_GET jako: %3Cscript%3Ealert%28document.cookie%29%3B%3C%2Fscript%3E (XSS).

Jednak można jeszcze kilkoma technikami ominąć filtrowanie, stosująć kodowanie.

Problem: Jak się zabezpieczyć do granic możliwości przechodząć przez wszystkie zmienne $_GET i $_POST ?
Go to the top of the page
+Quote Post
Vengeance
post 6.08.2004, 15:04:58
Post #2





Grupa: Zarejestrowani
Postów: 657
Pomógł: 2
Dołączył: 15.08.2003
Skąd: Łódź

Ostrzeżenie: (0%)
----- 

[PHP] pobierz, plaintext 
  1. <?php
  2. foreach($_GET as $a => $b)
  3. {
  4.    $_GET[$a] = htmlspecialchars($b);
  5. }
  6. reset($_GET);
  7. var_dump($_GET);
  8. ?>
[PHP] pobierz, plaintext


cos takiego ?


--------------------
programista wordpress i facebook | Imprezy w Łodzi | lipdub catalog | artykuły o PHP
Go to the top of the page
+Quote Post
rogrog
post 6.08.2004, 17:08:10
Post #3





Grupa: Zarejestrowani
Postów: 602
Pomógł: 1
Dołączył: 3.04.2004
Skąd: Trójmiasto (Gdańsk)

Ostrzeżenie: (0%)
-----

to zależy do czego

do HTMLa - htmlspecialchars
do MySQLa - mysql_escape_string //inne bazy też mają odpowiednie funkcje

i tyle - nie ma lepszej rady...


--------------------
www.dobrestrony.prv.pl
OI!!
Go to the top of the page
+Quote Post
Dabroz
post 6.08.2004, 20:00:33
Post #4





Grupa: Zarejestrowani
Postów: 286
Pomógł: 0
Dołączył: 1.11.2003
Skąd: Poland, Płock

Ostrzeżenie: (0%)
-----

I jeszcze intval" title="Zobacz w manualu PHP" target="_manual do wartości liczbowych.

Ale tego już było na forum sporo, poszukaj...


--------------------
Go to the top of the page
+Quote Post
« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Wersja Lo-Fi Aktualny czas: 28.06.2025 - 07:48
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn