Witam.
Czy strip_tags i filter_var wystarczy by pozbyc sie xss w php?
Czy powinnienem uzyc jakies specialnej biblioteki do tego w stylu OWASP anti-xss?
Dodam mi ze zalezy mi na czasie najszybsze rozwiazanie problemu.
Printable View
Witam.
Czy strip_tags i filter_var wystarczy by pozbyc sie xss w php?
Czy powinnienem uzyc jakies specialnej biblioteki do tego w stylu OWASP anti-xss?
Dodam mi ze zalezy mi na czasie najszybsze rozwiazanie problemu.
Ja to robię w JS:
ew. w PHP (phpQuery)Kod:jQuery('#text-container').val('<!-- xss')
Kod php:
pq('#text-container')->val('<!-- xss');
Hmm tak ale co jesli ten ciag znakow przechowuje w bazie danych i jest on pozniej wyswietlany na innej stronie czy nawet w innej domenie?
Tam gdzie tego uzyje pewnie wyswietli mi sie cos w tym rodzaju:
To taki sandbox prawda?Kod:<p><script>alert("XSS?")</script>
Ale na jakies podstronie/stronie etc bedzie to poprostu XSS?
Dobrze rozumuje?
Niech sobie siedzi XSS w bazie.
O to sie nie martwie co jesli ten rekord z bazy jest pozniej wyciagniety przez inna aplikacje/ strone ktora tez kozysta z tej bazy danych.
Co jesli moja strona w innym miejscu(stronie etc) wyciaga te dane i wyswietla uzytkownikowi?
JS mi w takim wypadku raczej nie pomoze?
Niech się martwi tamta aplikacja.
Skoro tak mowisz :)
Dzieki za odpowiedz
@lame2 - udany troll jest... udany :D
@szymkraw - google: xss output encoding
Nie troluję, piszę poważnie.