[ Príspevkov: 3 ] 
AutorSpráva
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 02.10.10
Prihlásený: 20.04.15
Príspevky: 65
Témy: 30 | 30
NapísalOffline : 29.05.2014 11:56 | Bezpečnosť proti XSS

Čaute,

tvorbou dynamických web stránok sa venujem dlhšie, resp. som ešte taký začiatočník a s PHPčkom som začal pred rokom. Učím sa niečo o bezpečnosti PHP a chcel by som od vás poradiť, či nasledujúci skript je dostatočne zabezpečený. Za pripomienky a prípadne rady vám budem vďačný :)

PHP skript pre výpis údajov:
Kód:
 <?php
      // Údaje pre pripojenie do DB
      $con=mysqli_connect("localhost","root","","test");
      // Overenie konektivity na databázu
      if (mysqli_connect_errno())
         {
            echo "CHYBA: Skript sa nemôže pripojiť na databázu: " . mysqli_connect_error();
          }

          $result = mysqli_query($con,"SELECT * FROM komentare_kostolkristakrala");
          echo "<ol class='commentlist'>";
          while($row = mysqli_fetch_array($result))
          {
           
            echo "<li class='depth-1'>";
                 
          echo "<div class='comment-info'>";
          echo "<cite>" . str_replace(array('<', '>'), array('&lt;', '&gt;'), str_replace("</script", "</scr' + 'ipt", str_replace("'", "'", $row['meno']))) . "</cite>";
          echo "<div class='comment-meta'>";
          echo "<time class='comment-time'>" . $row['date'] . "</time>";
          echo "<span class='sep'>/</span><a class='reply' href='#'>Reply</a></div></div>";
          echo "<div class='comment-text'>";
          echo "<p>" . str_replace(array('<', '>'), array('&lt;', '&gt;'), str_replace("</script", "</scr' + 'ipt", str_replace("'", "'", $row['komentar']))) . '</p>';
          echo "</div>";
          echo "</li>";
         
          }
          echo "</ol>";

          mysqli_close($con);
          ?>
          <!--PHP Skript - vypis END -->


Formulár pre zadávanie vstupov:
Kód:
<!-- form -->
               <form name="contactForm" id="contactForm" method="post" action="">
               <fieldset>

                  <div>
                     <label for="cName">Name <span class="required">*</span></label>
                     <input name="cName" type="text" id="cName" size="35" value="<?php echo htmlspecialchars($_GET['email'], ENT_QUOTES); ?>" />
                  </div>

                  <div>
                     <label for="cEmail">Email <span class="required">*</span></label>
                     <input name="cEmail" type="text" id="cEmail" size="35" value="<?php echo htmlspecialchars($_GET['email'], ENT_QUOTES); ?>" />
                  </div>
                  <!--
                  <div>
                     <label for="cWebsite">Website</label>
                     <input name="cWebsite" type="text" id="cWebsite" size="35" value="<?php echo htmlspecialchars($_GET['email'], ENT_QUOTES); ?>" />
                  </div>
                  -->
                  <div>
                     <label  for="cMessage">Message <span class="required">*</span></label>
                     <textarea name="cMessage"  id="cMessage" rows="15" cols="50" ><?php echo $_GET['komentar']; ?></textarea>
                  </div>

                  <button type="submit" class="submit">Submit</button>

               </fieldset>
               </form> <!-- Form End -->


Offline

Čestný člen
Čestný člen
Bezpečnosť proti XSS

Registrovaný: 21.02.06
Prihlásený: 08.12.14
Príspevky: 5447
Témy: 30 | 30
Bydlisko: Bratislava
NapísalOffline : 29.05.2014 18:15 | Bezpečnosť proti XSS

Neskúmal som dopodrobna ten kód, ale ak vymýšľaš vlastné riešenie, tak je na 99% šanca, že tam chyba bude.
Prečo ideš na to tak zložito, keď to stačí jednoducho?
http://phpfashion.com/escapovani-definitivni-prirucka


_________________
Neradím a nekomunikujem cez SS, ak niečo potrebujete, máte iné možnosti: Ak vám zmizla téma, alebo sa vám niečo nepáči. Ak potrebujete nahlásiť príspevok/človeka, reportujte ho. Ak máte s niečim problém, riešte to v danej téme.
Offline

Čestný člen
Čestný člen
Bezpečnosť proti XSS

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno
NapísalOffline : 30.05.2014 21:59 | Bezpečnosť proti XSS

Kód:
echo "CHYBA: Skript sa nemôže pripojiť na databázu: " . mysqli_connect_error();
Uz tu mas chybu, pretoze uzivatelovi vypisujes chybove hlasenie DB servra. Takto sa moze napriklad dozvediet, pod akym uzivatelom a do akej databazy sa prihlasujes.
Kód:
<?php echo $_GET['komentar']; ?>
Tu sa ti nezda nic divne?
Tiez nechapem, preco v tom prvom kode nepouzivas htmlspecialchars.


 [ Príspevkov: 3 ] 


Bezpečnosť proti XSS



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

Zabezpečenie proti XSS - ako nato

v PHP, ASP

1

151

05.09.2016 13:41

walther

V tomto fóre nie sú ďalšie neprečítané témy.

XSS

v JavaScript, VBScript, Ajax

10

780

16.06.2008 20:34

mylan

V tomto fóre nie sú ďalšie neprečítané témy.

XSS útok vyvolal epileptické záchvaty

v Novinky

3

258

01.04.2008 18:34

Triminka

V tomto fóre nie sú ďalšie neprečítané témy.

Objavená zraniteľnosť XSS na PayPal

v Novinky

1

349

19.05.2008 19:01

marzo

V tomto fóre nie sú ďalšie neprečítané témy.

bezpecnost

v PHP, ASP

6

371

05.02.2008 16:27

p360t

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť MYSQL

v PHP, ASP

2

376

15.03.2008 18:55

Tominator

V tomto fóre nie sú ďalšie neprečítané témy.

bezpečnosť webu

v PHP, ASP

12

233

18.02.2013 15:18

PepperSK

V tomto fóre nie sú ďalšie neprečítané témy.

SKYPE bezpečnosť

v Sieťové a internetové programy

3

998

07.05.2010 15:32

tonky51

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť Windows

v Antivíry a antispywary

7

232

17.11.2015 13:33

shiro

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpecnost routeru

v Bezpečnosť a firewally

1

472

28.11.2009 11:32

Jaro

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť $_COOKIE

v PHP, ASP

29

346

18.11.2014 19:02

JanoF

V tomto fóre nie sú ďalšie neprečítané témy.

akú bezpečnosť

v Bezpečnosť a firewally

18

2077

06.08.2007 13:05

Rbot

V tomto fóre nie sú ďalšie neprečítané témy.

VB-bezpečnosť

v Delphi, Visual Basic

6

581

21.05.2009 11:41

Fico

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť obrázkov

v PHP, ASP

8

320

10.01.2009 21:08

shaggy

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť webu

v Ostatné

1

116

22.02.2016 19:08

chrono

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť COOKIE

v PHP, ASP

17

800

25.10.2008 14:02

Tominator



© 2005 - 2017 PCforum, edited by JanoF