[XSS] ochrana v PHP proti hacku

od **2ge** 6. 3. 2006 12:29

Ahojte,

chcem si dobre ochranit svoje stranky proti hacknutiu, SQL injection a ostatne mne zname metody osetrujem, ale docital som sa o XSS, nepise sa o nom vela, ale predpokladam, ze sa tyka hlavne pri prezerani sprav/stranok, ktore moze niekto cudzi vlozit. Obet pride, spusti sa JS a JS posle na iny server informacie o danej stranke (session id a pod).

Chcem sa spytat ako sa da proti tomuto chranit, kodoval som jednoduchu diskusiu (pridavanie komentarov), odstranujem len html tagy (strip_tags), co tam mam este kontrolovat ?

// mbing : Téma přesunuto ● z Programování do Tvorba webových stránek a aplikací.

od **zusto** 6. 3. 2006 18:37

hlavne si skontroluj, ci mas vsetky globalne premenne zaregistrovane ako $_POST, $_GET, $_SESSIONS a ine... v tom robi vela programatorov chybu, ze sa spoliehaju na nastavenie "register_globals=on" a potom sa im mozu dostat do systemu napr. tak, ze napisu do adresoveho riadku "index.php?user=XXX" a sup, uz je prihlaseny user XXX aj bez znalosti hesla kvoli tomu, ze si nemal stanovene, ze $user=$_SESSION["blabla"];

od **2ge** 6. 3. 2006 19:33

jasne, register_globals=off mam, s ON to koduju snad samovrahovia. Inac nejakych 10 bodov ako sa chranit proti hacknutiu by nebolo zle, zeby navrh na clanok ?

[XSS] ochrana v PHP proti hacku

Kdo je online