Wpis z mikrobloga

Skopiuj link

 Skopiuj link
MacDada
MacDada
  • 2
@jaskowice1: Skasowałeś wpis jak pisałem odpowiedź…

1. ZAWSZE zabezpieczaj w zależności od kontekstu. Jak wchodzę w projekt, to nie chcę się zastanawiać czy akurat zmienna X jest bezpieczna dla SQLa – chcę widzieć escape i być pewnym, że jest.
2. Przed SQLi zabezpieczasz przez mysqli_real_escape_string albo – to drugie MOCNO zalecam – przez bindowanie parametrów (google prepared statements).
3. Przestaw się na PDO do bazkowania.
4. Przed XSS zabezpieczasz przez html_special_chars($napis, ENT_QUOTES | ENT_SUBSTITUTE, 'utf-8').
5. Możesz olać strip_tags() – przed niczym nie zabezpiecza.
6. Możesz olać htmlentities() – koduje wszystko co się da, wręcz nadmiarowo. Wygodniej kodować te kilka znaków, które mają znaczenie, przez html_special_chars()
7. Wracając do punktu pierwszego – NIE koduj encji przed wsadzeniem do bazki – KODUJ TAM GDZIE KONTEKST. Czyli koduj encje htmlowe przy wyświetlaniu w HTMLu.
  • 7
jaskowice1
jaskowice1
  • 0
@MacDada: a mam takie pytanie jeszcze, bo rozumiem że przed XSS to głównie się zabezpieczać jak robię echo, a jak np. sobie w ifie sprawdzam coś z $POST? To jakoś to zabezpieczać?

załóżmy coś takiego:

if isset($POST['id']){
}
MacDada
MacDada
  • 1
@jaskowice1: Musisz zrozumieć na czym polega niebezpieczeństwo, żeby móc się przed nim zabezpieczyć.

HTML to tekst „interpretowany”. Przeglądarki nie wyświetlają HTMLa, tylko analizują go i wykonują różne operacje na jego podstawie.

Np sekwencja **lol** przeglądarki rozumieją jako „wyświetl pogrubiony napis lol”. I tu się rodzi niebezpieczeństwo, że – jeśli pozwolisz użytkownikom wpływać na HTML – to mogą oni zrobić kuku sobie lub innym użytkownikom.

Np zamiast ** mógłby to być kod_js_kradnacy_sesje();
MacDada
MacDada
  • 1
@jaskowice1: Tak BTW, jeszcze odnośnie XSSów. Na górze napisałem Ci jak używać html_special_chars – wszystkie te parametry co podałem muszą być przekazywane. Stąd najlepiej zrób sobie swoją funkcję htmlEscape($napis), która odpali odpowiednio html_special_chars – żebyś nie musiał się powtarzać.

ALE będzie to bezpieczeczne dopiero przy spełnieniu kilku dodatkowych warunków.

Po pierwsze napisy faktycznie muszą być w UTF-8 – więc upewnij się, że pliki PHP masz tak zakodowane, że bazki masz

Aktywne Wpisy

jarzynka
jarzynka
#jedzenie #wakacje #wlochy A wy co pewnie placki z pizza hut?
Pobierz jarzynka - #jedzenie #wakacje #wlochy A wy co pewnie placki z pizza hut?
źródło: 1000016146

40 odpowiedzi

olo1917
olo1917
Kto pamięta rządy PO i zwłaszcza, gdzie zaczynali 2007-2009, rozpierdziel po pisie, historyczny kryzys, bezrobocie. A nie jak gimbus tylko lata 2013-2015, gdzie już wychodziło to na prostą. Ten wie, że nie było lepszego rządu niż ten PO w historii polskiej demokracji. Ludzie mieli okazję obserwować, również dzięki swojej pracy, epokową przemianę demoludu w zachodnie państwo. Efekty tych działań do teraz napędzają ten kraj. Po niepewnosci lat 90, baronach SLD, patologii politycznej

43 odpowiedzi

Aktywne Znaleziska

Migranci zaatakowali funkcjonariuszy na granicy węgiersko-słowackiej
Migranci zaatakowali funkcjonariuszy na granicy węgiersko-słowackiej
122
Przywiózł 24 sztuki. Dziś kraj walczy z plagą. Wszystkie pochodzą od niego
Przywiózł 24 sztuki. Dziś kraj walczy z plagą. Wszystkie pochodzą od niego
136
PiSowski IPN ojca Ziobry z PZPRowca robi opozycjonistę xD
PiSowski IPN ojca Ziobry z PZPRowca robi opozycjonistę xD
138
Orgia na plebanii. Zaskakujące słowa do wiernych
Orgia na plebanii. Zaskakujące słowa do wiernych
144
Wlasciciele agresywnej rasy psow XL Bully protestuja w Londynie
Wlasciciele agresywnej rasy psow XL Bully protestuja w Londynie
91

Popularne tagi