[XSS] ochrana v PHP proti hacku

Webdesign, HTML, CSS, Flash, PHP, ASP, .NET, JavaScript. Kritika www stránek na Smetišti.

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod 2ge 6. 3. 2006 13:29

Ahojte,

chcem si dobre ochranit svoje stranky proti hacknutiu, SQL injection a ostatne mne zname metody osetrujem, ale docital som sa o XSS, nepise sa o nom vela, ale predpokladam, ze sa tyka hlavne pri prezerani sprav/stranok, ktore moze niekto cudzi vlozit. Obet pride, spusti sa JS a JS posle na iny server informacie o danej stranke (session id a pod).

Chcem sa spytat ako sa da proti tomuto chranit, kodoval som jednoduchu diskusiu (pridavanie komentarov), odstranujem len html tagy (strip_tags), co tam mam este kontrolovat ?


// mbing : Téma přesunuto ● z Programování do Tvorba webových stránek a aplikací.
SubDownloader - stahuj a nahravaj titulky k filmom pomocou opensource programu z OpenSubtitles.org
2ge
Junior
Uživatelský avatar

Odeslat příspěvekod zusto 6. 3. 2006 19:37

hlavne si skontroluj, ci mas vsetky globalne premenne zaregistrovane ako $_POST, $_GET, $_SESSIONS a ine... v tom robi vela programatorov chybu, ze sa spoliehaju na nastavenie "register_globals=on" a potom sa im mozu dostat do systemu napr. tak, ze napisu do adresoveho riadku "index.php?user=XXX" a sup, uz je prihlaseny user XXX aj bez znalosti hesla kvoli tomu, ze si nemal stanovene, ze $user=$_SESSION["blabla"];
Regards,

zusto
zusto
Junior

Odeslat příspěvekod 2ge 6. 3. 2006 20:33

jasne, register_globals=off mam, s ON to koduju snad samovrahovia. Inac nejakych 10 bodov ako sa chranit proti hacknutiu by nebolo zle, zeby navrh na clanok ? :)
SubDownloader - stahuj a nahravaj titulky k filmom pomocou opensource programu z OpenSubtitles.org
2ge
Junior
Uživatelský avatar


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků