6
Mi chiedevo della sicurezza dell'utilizzo della funzione php htmlentities() contro gli attacchi XSS e forse delle funzioni correlate come htmlspecialchars.È htmlentities() a prova di proiettile?
grazie mille :)
A
risposta
8
Sarà necessario specificare esplicitamente la codifica corretta (per esempio: utf-8), Chris ha avuto un post su come iniettare codice anche chiamando htmlentities senza codifica appropriata.
4
non è a prova di proiettile, non ha mai consente di risparmiare il 100%. È necessario ricordare che quando si tratta di sicurezza, lo sviluppatore ne è responsabile. Le lingue offrono una buona quantità di funzioni di sicurezza e tanto più spetta agli sviluppatori sapere come proteggono il loro sito sia che utilizzino l'approccio di whitelist o l'approccio di lista nera. Se htmlentities fosse tutto, framework come codeigniter, kohana e altri non avrebbero avuto le loro grandi funzioni di sicurezza.
La cosa più importante è sanificare e filtrare qualsiasi input proveniente dall'utente.
0
No, funzioni come htmlspecialchars e htmlentities non proteggono da tutti i casi di Cross-Site Scripting.
Casi in cui queste funzioni non aiuterà sono:
- L'exploit di dati non raggiunge il server (basato su DOM XSS).
- I dati di exploit non vengono interpretati solo in un contesto HTML e i caratteri speciali codificati da queste funzioni sono not required o not the only ones that are special in the corresponding context.
Soprattutto quest'ultimo motivo è spesso mancato. Esistono molti esempi nello OWASP’s XSS Prevention Cheat Sheet per i casi in cui può verificarsi un'iniezione in un documento HTML. Ma non tutti richiedono uno dei caratteri speciali HTML per iniettare ed eseguire il codice JavaScript.
Problemi correlati
- 1. HTMLPurifier è davvero a prova di proiettile?
- 2. cross-browser "a prova di proiettile" CSS3 @ font-face sintassi
- 3. Angularjs è a prova di futuro?
- 4. Htmlentities vs addslashes vs mysqli_real_escape_string
- 5. Differenza tra prova e prova a SBT
- 6. htmlentities() Entità di doppia codifica nella stringa
- 7. Browser Webkit che spingono un proiettile a destra
- 8. PHP - È sufficiente htmlentities() per creare valori xml-safe?
- 9. PHP & mySQL: quando utilizzare esattamente htmlentities?
- 10. Come utilizzare proiettile-find-test-file
- 11. mette all'interno di metodo a prova rspec
- 12. Quando Ethereum passerà a Prova di gioco?
- 13. Risorsa di prova quando AutoCloseable è nullo
- 14. Forme SVG a prova di successo?
- 15. Fisica di proiettile Esempio di collisione più semplice
- 16. Trova/Sostituisci htmlentities usando la toolchain standard di Linux?
- 17. Fisica di proiettile, errore di collegamento in Visual Studio
- 18. Definire il set di caratteri predefinito per htmlentities()
- 19. PHP htmlentities non è sufficiente per impedire agli hacker di iniettare codice HTML dal modulo
- 20. Come si fa a cambiare l'immagine di un punto di proiettile in LaTeX Beamer
- 21. Apparecchiature di prova di prova e dispositivi di prova di base ignorati
- 22. Anima punti secondo livello di proiettile in slidify
- 23. Scaricare un file di prova con goniometro di prova
- 24. utilizzando la nuova costante del php 5.4 ENT_DISALLOWED in htmlentities
- 25. Quadro di prova MATLAB
- 26. prova se getJSONArray è null o non
- 27. Come arrivare Mocha a fallire una prova
- 28. Selenio macchina di prova
- 29. Prova a catturare exe eseguibile in Powershell?
- 30. Prova a comprendere le interfacce Delphi
Grazie mille che è esattamente il tipo di prova che stavo cercando :) Devo studiare i problemi di codifica. Conosce qualche buona documentazione a riguardo? – fatmatto
Ti incoraggio a leggere un esempio reale di Gmail contact xss e, leggendo l'exploit, che è scaricabile nel post sottostante, speriamo di darti qualche idea su come scrivere un codice sicuro: http://uneasysilence.com/ archivio/2007/01/9025/ E qui è un cheat sheet che potresti trovare utile: http://openmya.hacker.jp/hasegawa/security/utf7cs.html –
Grazie mille: D – fatmatto