xss form protection

**BagiZoli** · 2008-03-19, 18:59

Kedves sokat megélt kóderek.
Próbálom az formom inputjait ezzel a kóddal validálni.

PHP kód:

 $disallow = array('/<\?((?!\?>).)*\?>/s');
$allowedpass = strip_tags(preg_replace($disallow, '', $password));

Jól gondolom, hogy most secure a form?
A válaszokat előre is meghajolva köszönöm.

Hasonló témák:

**kow** · 2008-03-19, 19:50

Szerintem túlbonyolítottad kicsit. Futtass rajta egy regexpet, ami csak az ABC karaktereit és számokat engedélyez, akkor probléma nem lehet.

Általánosan úgy védekezhetsz xss ellen, hogy amit kiírsz inputból POST vagy GET után, arra megy egy htmlspecialchars();

**v-soft** · 2008-07-01, 17:52

bovebben ha lehet ?

mirol is szol az a regexp? zoli amugy mitr csinal ez a szkript?

**BagiZoli** · 2008-07-01, 18:06

Ez az analóg metódusa a htmlspecialchars() php függvénynek. A htpasswd generátornál kellett ez a cuccbugi. Ott tanultam meg a posztolás művészetét.

**v-soft** · 2008-07-01, 19:27

a mit tanultal meg ott ?

**BagiZoli** · 2008-07-01, 19:34

Elolvastad a hozzászólásomat? Abban írtam, hogy a posztolást.

**TLoF** · 2008-07-01, 22:11

Az xss -t nem a form ilyen jellegü szüréséből kell megoldani, hanem a bejövő adatok specifikusabb szürésével, ez általánosságban jó lehet, de pl a jelszónál pont nem számit, hiszen úgy is nyomsz rá valami hash fügvényt.

Egy form postnál is számithat hog milyen karaktereket iratsz ki, hiszen egy geshi kódszinező csak a <? jellel tud mit kezdeni.

Ha általános szürést szeretnél olyan nincs

vagy egyszerüen az összes < és > tagot cseréld le a html megfelőikre és akkor nem kerül vezérlő karakter át a kódodon.

**Johnny** · 2008-07-02, 09:22

Az alábbi oldalon találsz egy függvényt, én ennek egy módosított változatát szoktam használni:

RemoveXSS függvény

**huncyrus** · 2008-07-02, 12:35

uff ez a remove xss függvény nagyon durva, de én is tulzásnak érzem. simán a strippelés, slashelés és special charozás + regexp-el szürhetővé válik a cucc...
bár gondoltam már egy egyensúly rendszeres mesterséges inteligenciára, amely elkezdi lepontozni az adott dolgokat és ha úgy véli akkor irány a kick-ban

**v-soft** · 2008-07-02, 14:23

huncyrus eredeti hozzászólása

uff ez a remove xss függvény nagyon durva, de én is tulzásnak érzem. simán a strippelés, slashelés és special charozás + regexp-el szürhetővé válik a cucc...
bár gondoltam már egy egyensúly rendszeres mesterséges inteligenciára, amely elkezdi lepontozni az adott dolgokat és ha úgy véli akkor irány a kick-ban

ezt hogyan is ?

mit szeretnél lepontozni?