Re: [建議] 給初學者的幾個PHP開發建議 (II)
※ 引述《ybite (小犬)》之銘言:
: 有感而發第二彈...
: 這次比上次的應該虛弱了一點
: 4. 總是記住開放HTML是有危險的
: 當你把資料表的資料弄出來了,把它丟進顯示出來的頁面時
: 記得要對HTML作一定程度的處理
: 如果你的那個欄位不開放HTML,請用htmlspecialchars
: 要開放HTML的情況很麻煩,因為現在XSS滿街跑
: 用簡單的Regex擋<script>是沒辦法克服XSS的
除了用正規表達法檔<script>外
還要再篩選一次
有<script標籤的
有的網站的正規表達法驗證<script>
但是<script不會被檢查到
只要有心人輸入<script src="http://xxx.xxx.xxx/xx.js"
不要有>
IE , FF還是會執行script
但網站會認為是合法的
像之前XX小站就有這個問題
很危險!!!!!!
: 如果你真的要開放HTML,建議找一個XSS filter Orz
: 之前在板上就看到某支購物程式的管理介面XSS
: 把你的客戶資料全部丟給別人,然後看起來什麼事情都沒發生 囧
:
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 218.164.79.213
推
08/06 00:29, , 1F
08/06 00:29, 1F
→
08/06 00:29, , 2F
08/06 00:29, 2F
推
08/06 00:38, , 3F
08/06 00:38, 3F
→
08/06 01:32, , 4F
08/06 01:32, 4F
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 2 之 2 篇):