Possible en double:
What are the best practices for avoid xss attacks in a PHP siteprévention XSS en PHP
Je dois prévenir les attaques XSS dans le code PHP, est-il NAY bonne bibliothèque et facile pour cela?
Possible en double:
What are the best practices for avoid xss attacks in a PHP siteprévention XSS en PHP
Je dois prévenir les attaques XSS dans le code PHP, est-il NAY bonne bibliothèque et facile pour cela?
htmlspecialchars()
sécurité n'est pas un produit. C'est un processus.
Si vous comptez sur une bibliothèque pour la sécurité, vous êtes condamné à être attaqué une fois ou l'autre.
Quoi qu'il en soit, vous pouvez désinfectez vos entrées avec fonctions standard de php (à savoir htmlspecialchars()
)
ok J'ai ajouté cela à l'entrée qui sera imprimée sur la page, cela empêchera-t-il toutes les attaques XSS ou au moins la plupart d'entre elles? – newbie
Je vous suggère de lire sur XSS. Vous devez comprendre comment cela fonctionne pour vous protéger contre cela. – Marius
Je sais ce qui est XSS – newbie
PHP: La version actuelle de ce projet ne convient pas pour une utilisation en production. – qwertzman
Theres beaucoup de bonnes réponses sur Google, premier j'ai trouvé; http://codeassembly.com/How-to-sanitize-your-php-input/
Mon conseil principal serait de considérer chaque entrée comme une attaque directe.
Convertissez donc en caractères html. Ajouter des barres obliques
De nombreuses fonctions PHP peuvent vous aider à prévenir les attaques XSS. Jetez un oeil à ces:
strip_tags
http://php.net/manual/en/function.strip-tags.php
htmlspecialchars
htmlentities est préférable d'être retiré de la liste. comme cette fonction est obsolète et sale –
Un tel torrent de fonctionnalités sales qu'il est difficile de suivre ce qui est réellement utilisable en PHP. – Finbarr
Um, quoi? htmlentities est vivant et bien, et généralement préférable à htmlspecialchars http://php.net/manual/en/function.htmlentities.php – Kzqai
je remarquai que trop, il a empêché alerte, («test d'attaque XSS!) de courir, il doit donc faire quelque chose – newbie
Cela rendra les caractères Unicode illisibles (п => п) –