ציטוט:
נכתב במקור על ידי Tyler
ואו תודה.
שאלה כללית: האם בכל פעם שאני משתמש בצורה הראשונה שציינת אני חושף את הדף לXSS?
לדוגמא
גם חשוף לXSS?
כי אני די משתמש בצורה הזאת בהמון דפים וקודים
|
ברור,
תחשוב שהכתובת של המשתמש היא כזו:
קוד:
url.com/index.php?id=<script>alert('xss');</script>
ואתה תציג את תוכן ה id , כלומר מה שיוצג לך בעמוד יהיה:
קוד:
<script>alert('xss');</script>
וזה לא טוב, לכן אתה צריך להשתמש ב htmlspecialchars:
http://php.net/htmlspecialchars
אבל כשאתה מציג מספרים, שימוש בintval יספיק.
ד"א כנ"ל גם לגבי _POST ו _COOKIE וכל הקלט מהגולש.
ועוד משהו קטן: אם אתה עובד מול מסד נתונים, htmlspecialchars לא יעזור לך (בעוד ש intval כן), אתה צריך למנוע sql injection שזה פשוט בmysqli ו pdo אם תשתמש ב bind parameters