Pokaż wyniki 1 do 9 z 9

Temat: XSS w php

  1. #1
    Zarejestrowany
    Jun 2010
    Postów
    226

    Domyślnie XSS w php

    Witam.
    Czy strip_tags i filter_var wystarczy by pozbyc sie xss w php?
    Czy powinnienem uzyc jakies specialnej biblioteki do tego w stylu OWASP anti-xss?
    Dodam mi ze zalezy mi na czasie najszybsze rozwiazanie problemu.

  2. #2
    Zarejestrowany
    Jun 2013
    Postów
    168

    Domyślnie

    Ja to robię w JS:
    Kod:
    jQuery('#text-container').val('<!-- xss')
    ew. w PHP (phpQuery)
    Kod php:
    pq('#text-container')->val('<!-- xss'); 
    Ostatnio edytowane przez lame2 : 07-14-2014 - 13:46
    Głos racjonalny.

  3. #3
    Zarejestrowany
    Jun 2010
    Postów
    226

    Domyślnie

    Hmm tak ale co jesli ten ciag znakow przechowuje w bazie danych i jest on pozniej wyswietlany na innej stronie czy nawet w innej domenie?

    Tam gdzie tego uzyje pewnie wyswietli mi sie cos w tym rodzaju:
    Kod:
    <p><script>alert("XSS?")</script>
    To taki sandbox prawda?
    Ale na jakies podstronie/stronie etc bedzie to poprostu XSS?
    Dobrze rozumuje?

  4. #4
    Zarejestrowany
    Jun 2013
    Postów
    168

    Domyślnie

    Niech sobie siedzi XSS w bazie.
    Głos racjonalny.

  5. #5
    Zarejestrowany
    Jun 2010
    Postów
    226

    Domyślnie

    O to sie nie martwie co jesli ten rekord z bazy jest pozniej wyciagniety przez inna aplikacje/ strone ktora tez kozysta z tej bazy danych.
    Co jesli moja strona w innym miejscu(stronie etc) wyciaga te dane i wyswietla uzytkownikowi?
    JS mi w takim wypadku raczej nie pomoze?

  6. #6
    Zarejestrowany
    Jun 2013
    Postów
    168

    Domyślnie

    Niech się martwi tamta aplikacja.
    Głos racjonalny.

  7. #7
    Zarejestrowany
    Jun 2010
    Postów
    226

    Domyślnie

    Skoro tak mowisz
    Dzieki za odpowiedz

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    @lame2 - udany troll jest... udany
    @szymkraw - google: xss output encoding
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  9. #9
    Zarejestrowany
    Jun 2013
    Postów
    168

    Domyślnie

    Nie troluję, piszę poważnie.
    Głos racjonalny.

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj