作者visualPHP (brain)
看板PHP
標題Re: [建議] 給初學者的幾個PHP開發建議 (II)
時間Wed Aug 6 00:21:05 2008
※ 引述《ybite (小犬)》之銘言:
: 有感而發第二彈...
: 這次比上次的應該虛弱了一點
: 4. 總是記住開放HTML是有危險的
: 當你把資料表的資料弄出來了,把它丟進顯示出來的頁面時
: 記得要對HTML作一定程度的處理
: 如果你的那個欄位不開放HTML,請用htmlspecialchars
: 要開放HTML的情況很麻煩,因為現在XSS滿街跑
: 用簡單的Regex擋<script>是沒辦法克服XSS的
除了用正規表達法檔<script>外
還要再篩選一次
有<script標籤的
有的網站的正規表達法驗證<script>
但是<script不會被檢查到
只要有心人輸入<script src="
http://xxx.xxx.xxx/xx.js"
不要有>
IE , FF還是會執行script
但網站會認為是合法的
像之前XX小站就有這個問題
很危險!!!!!!
: 如果你真的要開放HTML,建議找一個XSS filter Orz
: 之前在板上就看到某支購物程式的管理介面XSS
: 把你的客戶資料全部丟給別人,然後看起來什麼事情都沒發生 囧
:
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 218.164.79.213
→ ybite :我想除了找一個好的現成Filter沒辦法了 XD 08/06 00:29
推 starjou :把 < 轉成 <, php 有個函式做這件事的 08/06 00:38
→ visualPHP :所以還是完全禁止的好 08/06 01:32