Eredmény: 1 - 10 (10) összesen

Téma: xss form protection

  1. #1
    Adminisztrátor BagiZoli logója
    Csatlakozott
    07-04-26
    Hely
    8200, Királynék városa
    Hozzászólás
    3.855
    Begyűjtött 320 köszönetet
    154 hozzászólásával

    Alapbeállítás xss form protection

    Kedves sokat megélt kóderek.
    Próbálom az formom inputjait ezzel a kóddal validálni.
    PHP kód:
    $disallow = array('/<\?((?!\?>).)*\?>/s');
    $allowedpass strip_tags(preg_replace($disallow''$password)); 
    Jól gondolom, hogy most secure a form?
    A válaszokat előre is meghajolva köszönöm.



  2. #2
    kow
    kow nem elérhető
    KowDerMei$ter kow logója
    Csatlakozott
    07-05-09
    Hely
    Budapest
    Hozzászólás
    1.447
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Alapbeállítás re: xss form protection

    Szerintem túlbonyolítottad kicsit. Futtass rajta egy regexpet, ami csak az ABC karaktereit és számokat engedélyez, akkor probléma nem lehet.

    Általánosan úgy védekezhetsz xss ellen, hogy amit kiírsz inputból POST vagy GET után, arra megy egy htmlspecialchars();


    Utoljára módosítva: kow által : 2008-03-19 19:55

  3. #3
    'Say Hello To My Little Friend'
    Csatlakozott
    08-06-26
    Hozzászólás
    36
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Alapbeállítás re: xss form protection

    bovebben ha lehet ? mirol is szol az a regexp? zoli amugy mitr csinal ez a szkript?



  4. #4
    Adminisztrátor BagiZoli logója
    Csatlakozott
    07-04-26
    Hely
    8200, Királynék városa
    Hozzászólás
    3.855
    Begyűjtött 320 köszönetet
    154 hozzászólásával

    Alapbeállítás re: xss form protection

    Ez az analóg metódusa a htmlspecialchars() php függvénynek. A htpasswd generátornál kellett ez a cuccbugi. Ott tanultam meg a posztolás művészetét.



  5. #5
    'Say Hello To My Little Friend'
    Csatlakozott
    08-06-26
    Hozzászólás
    36
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Alapbeállítás re: xss form protection

    a mit tanultal meg ott ?



  6. #6
    Adminisztrátor BagiZoli logója
    Csatlakozott
    07-04-26
    Hely
    8200, Királynék városa
    Hozzászólás
    3.855
    Begyűjtött 320 köszönetet
    154 hozzászólásával

    Alapbeállítás re: xss form protection

    Elolvastad a hozzászólásomat? Abban írtam, hogy a posztolást.



  7. #7
    Bölcs
    Csatlakozott
    07-08-28
    Hozzászólás
    1.024
    Begyűjtött 146 köszönetet
    105 hozzászólásával

    Alapbeállítás re: xss form protection

    Az xss -t nem a form ilyen jellegü szüréséből kell megoldani, hanem a bejövő adatok specifikusabb szürésével, ez általánosságban jó lehet, de pl a jelszónál pont nem számit, hiszen úgy is nyomsz rá valami hash fügvényt.

    Egy form postnál is számithat hog milyen karaktereket iratsz ki, hiszen egy geshi kódszinező csak a <? jellel tud mit kezdeni.

    Ha általános szürést szeretnél olyan nincs vagy egyszerüen az összes < és > tagot cseréld le a html megfelőikre és akkor nem kerül vezérlő karakter át a kódodon.



  8. #8
    Szerkesztő
    Csatlakozott
    08-03-13
    Hely
    Kozármisleny
    Hozzászólás
    226
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Alapbeállítás re: xss form protection

    Az alábbi oldalon találsz egy függvényt, én ennek egy módosított változatát szoktam használni:

    RemoveXSS függvény



  9. #9
    Bölcs huncyrus logója
    Csatlakozott
    07-04-26
    Hely
    EU :)
    Hozzászólás
    519
    Begyűjtött 4 köszönetet
    4 hozzászólásával

    Alapbeállítás re: xss form protection

    uff ez a remove xss függvény nagyon durva, de én is tulzásnak érzem. simán a strippelés, slashelés és special charozás + regexp-el szürhetővé válik a cucc...
    bár gondoltam már egy egyensúly rendszeres mesterséges inteligenciára, amely elkezdi lepontozni az adott dolgokat és ha úgy véli akkor irány a kick-ban


    Cyrusmagus.hu - Informatika, Fantasy, Blog, Irások

  10. #10
    'Say Hello To My Little Friend'
    Csatlakozott
    08-06-26
    Hozzászólás
    36
    Begyűjtött 0 köszönetet
    0 hozzászólásával

    Alapbeállítás re: xss form protection

    Idézet huncyrus eredeti hozzászólása Hozzászólás megtekintése
    uff ez a remove xss függvény nagyon durva, de én is tulzásnak érzem. simán a strippelés, slashelés és special charozás + regexp-el szürhetővé válik a cucc...
    bár gondoltam már egy egyensúly rendszeres mesterséges inteligenciára, amely elkezdi lepontozni az adott dolgokat és ha úgy véli akkor irány a kick-ban

    ezt hogyan is ? mit szeretnél lepontozni?



A téma címkéi:

Könyvjelzők

Hozzászólás szabályai

  • Új témákat nem hozhatsz létre
  • Válaszokat nem küldhetsz
  • Fájlokat nem csatolhatsz
  • A hozzászólásaidat nem módosíthatod
  •