Fachowa ocena.
Cóż trafiłem ostatnio na pewną stronę, i to co zauważyłem mnie zastanowiło. Otóż w panelu logowania można bez problemu zawrzeć kod html, strona jakby pomija go przy logowaniu, można na ten przykład wpisać <trolololo>Login</trolololo> <lalala>hasło</lalala> Zastanawiam się właśnie czy jest to poważna luka? Czy ktoś zdolny może ją wykorzystać? Wpisując sam kod, strona uznaję go za puste pole.
To zależy.
Ja stosuje polityke nie walidowania niczego, wpusczam do bazy tak jak dostałem,
potem robie tylko jQuery:text() lub phpQuery:text(), to chyba chroni przed XSS :-]
Staram się żeby kodu było możliwie mało, bo każda linia zwiększa koszt utrzymania.
Copyright © 2006-2024 - HACK.pl. Wszelkie prawa zastrzeżone.
Odpowiedź z Cytatem
