Что такое XSS и как закрыть дыру? (Стр. 2)

N

Neformat 22.02.2010 / 17:26
Голубые штаны

0

Действенный метод - это фильтровать все входящие гет, пост, куки данные там где это нужно и соответствующими функциями.
А фильтровать весь гет или пост массив, как я часто встречаю, да еще универсальными функциями с регулярками - очень скажется на производительности.

Б

Б.В. 22.02.2010 / 17:53
Пацак

0

При вы8воде данных в браузере: htmlspecialchars фильтруем, при запросах в мускул mysql_escape_string фильтруем (цыфры для запросов я проверяю через ctype_digit, чтоб быть вполне уверенным)

I

ion 22.02.2010 / 18:11 Автор
Пришелец

0

Neformat (Сегодня / 17:26)
Действенный метод - это фильтровать все входящие гет, пост, куки данные там где это нужно и соответствующими функциями.
А фильтровать весь гет или пост массив, как я часто встречаю, да еще универсальными функциями с регулярками - очень скажется на производительности.

Так вроде эти переменные фильтруются а гады все равно узнают пароли

ктулху 22.02.2010 / 18:18
Ктулху

0

14, кто же их в открытом виде то хранит? и мне кажется что там явно не XSS, или у тебя пароли прямо в URL идут

N

Neformat 22.02.2010 / 18:32
Голубые штаны

0

#14. если бы они все фильтровались, тебя бы не взломали

Titov 22.02.2010 / 18:38
Персональный статус

0

ну да гетом ловят видимо, пусть не переходят по прямых линках, или сесиионную авторизацию делай, куки, да масса вариантов для защиты, было бы желание

Удаленный 23.02.2010 / 04:47
Дух

0

10,писал 2 кода,просто последний форум не задублировал,дома напишу от XSS.
А по теме использовать для фильтра strip_tags(); вырежим строчные теги php|html
htmlspecialchars() - работает по спец символам,вот ещё функция htmlentities() конвертирует все символы в строке (кроме букв),ну и stripslashes() удалим экранированные символы.

N

Nu3oN 24.02.2010 / 01:49
Эцилопп сией тентуры

0

я у себя запретил в url все кроме : / . ? & и в полне спокоен! и фильтрую каждую переменную полученную через гет и пост, все что можно заменить, заменяю! и вполне уверенно чувствую себя smile

С

Славик 24.02.2010 / 01:56
о_О

0

Заяц скинь код

ramzes 24.02.2010 / 03:21
2000 лет д.н.э.

0

Вообще ни чего не запрещаю ни когда в адресе..
Все переменные на месте фильтрую.
Эти универсальные методы лажа и лишняя нагрузка.
Site.ru/?page=fuck
и фильтр обосрался, и ресурсы сожрал и проку 0.
$_MYGET['page'] = abs(intval($_GET['page']));
$_MYGET['id'] = abs(intval($_GET['id']));
$_MYGET['login'] = (preg_match('|^[a-z0-9]{3,20}$|i',$_GET['login']) ? $_GET['login'] : false;
проще свой массив создать и из него брать нужные переменные уже правильно отфильтованными.
Если уж так хочется чего ни будь в шапку запихнуть..