[ Príspevkov: 2 ] 
AutorSpráva
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 17.02.14
Prihlásený: 01.12.16
Príspevky: 194
Témy: 75 | 75
Bydlisko: Šuňava
Vek: 20
NapísalOffline : 05.09.2016 13:07 | Zabezpečenie proti XSS - ako nato

Ahojte, hľadal som na internete postupy, ako zabezpečiť stránku, či formuláre voči XSS útokom. Chcel by som vedieť, ako je to najlepšie, povedzme, že máme takýto formulár..
HTML:
Kód:
<form class="login-form" method="post" action="index.php">
      <input type="text" name="Username" placeholder="Meno"/>
      <input type="password" name="Password" placeholder="Heslo"/>
      <button type="submit" name="odoslat">PRIHLÁSIŤ</button>
    </form>

PHP:
Kód:
<?php
include("functions.php");
session_start();
 if(isset($_POST['odoslat'])){
    $username = ($_POST['Username']);
    $password = ($_POST['Password']);
    $login_check = mysqli_query($con,"SELECT `UserID` FROM `Users` WHERE `Username`='$username' AND `Password`='".sha1($password)."'") or die (mysqli_error());
    if(mysqli_num_rows($login_check) == 0){
      $echo = "Nesprávna kombinácia mena/hesla!"; 
    }else{
        $get_id = mysqli_fetch_assoc($login_check);
        $_SESSION['uid'] = $get_id['UserID'];
        $today = date("Y-m-d H:i:s");
        $t = file_get_contents("prihlasenia.txt");
      $t .= $today." Používateľ ".$username." "."sa prihlásil!"."\r\n";
      file_put_contents("prihlasenia.txt",$t);
       header("Location: system.php");           
      }       
    }
  ?>

Samozrejme, že k sha1 by sa mohol pridať ešte salt, no zaujíma ma tá bezpečnosť, našiel som niečo ako htmlspecialcharts, no i tam bolo povedané, že je slabé voči XSS, čo by som mal do scriptov doplniť? Vďaka


Online

Skúsený užívateľ
Skúsený užívateľ
Zabezpečenie proti XSS - ako nato

Registrovaný: 24.01.08
Prihlásený: 08.12.16
Príspevky: 14462
Témy: 65 | 65
Bydlisko: Žilina
Vek: 29
NapísalOnline : 05.09.2016 13:41 | Zabezpečenie proti XSS - ako nato

Ty to nemáš deravé len voči XSS, ale aj proti SQL injection a bohvie voči čomu ešte.

XSS prevention: https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
SQL injection prevention: https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

Mimochodom, rovnako zabudni na SHA1, to je na heslá absolútne nevhodné.
A za ďalšie, pokiaľ nemáš naozaj veľmi dobrý dôvod na custom riešenie, používaj framework. Naozaj nemá zmysel vymýšľať vlastné deravé riešenia.


_________________
C#, PHP, ...
 [ Príspevkov: 2 ] 


Zabezpečenie proti XSS - ako nato



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť proti XSS

v PHP, ASP

2

108

30.05.2014 21:59

Ďuri

V tomto fóre nie sú ďalšie neprečítané témy.

Zabezpečenie súborov proti stiahnutiu

v Ostatné

2

612

16.10.2007 18:25

kmsa

V tomto fóre nie sú ďalšie neprečítané témy.

zabezpecenie auta proti kradezi

v Automobily, motorky

18

1847

29.05.2015 11:21

Igy Horvath

V tomto fóre nie sú ďalšie neprečítané témy.

OC pamati, ako nato? resp ako :)

v Biosy a ladenie výkonu

10

469

02.10.2007 19:14

eXistenZ

V tomto fóre nie sú ďalšie neprečítané témy.

Ako nato?

v Redakčné systémy

3

599

23.03.2007 18:55

altt

V tomto fóre nie sú ďalšie neprečítané témy.

Viacjazyčnosť - ako nato?

v PHP, ASP

4

116

03.04.2016 18:26

walther

V tomto fóre nie sú ďalšie neprečítané témy.

Ako nato (skrinka) ?

[ Choď na stránku:Choď na stránku: 1, 2 ]

v PC skrinky a zdroje

32

344

15.07.2015 21:14

Jalo

V tomto fóre nie sú ďalšie neprečítané témy.

[Ako Nato] Internet - Router

v Články

13

4142

22.09.2010 8:40

dodisenko

V tomto fóre nie sú ďalšie neprečítané témy.

Nova siet, ako nato?

v Siete

4

106

15.01.2015 11:40

mirom

V tomto fóre nie sú ďalšie neprečítané témy.

vymazať už vymazané?? :-)) ako nato

v Ostatné programy

3

236

09.12.2010 21:12

DAVE1979

V tomto fóre nie sú ďalšie neprečítané témy.

Pust to talk, ako nato?

v Mobilné zariadenia

1

665

17.03.2008 15:23

brm

V tomto fóre nie sú ďalšie neprečítané témy.

webcam na stranke ako nato ?

v Ostatné

3

474

15.06.2008 11:57

Numline1

V tomto fóre nie sú ďalšie neprečítané témy.

!Neviem ako nato...predny ventilator!

v Modifikácie, návody a projekty

15

2553

21.06.2010 11:01

mimkork

V tomto fóre nie sú ďalšie neprečítané témy.

Debian uncache? Operačnej Pamäte... Ako nato?

v Operačné systémy Unix a Linux

4

490

23.08.2009 17:51

ssssss

V tomto fóre nie sú ďalšie neprečítané témy.

Reinštálacia Windows XP - Ako nato + Internet

v Operačné systémy Microsoft

5

2289

14.03.2007 20:50

zmija31

V tomto fóre nie sú ďalšie neprečítané témy.

ventilator na 110% ci 130% ??? ako nato?

v Elektronika

7

689

30.03.2008 13:29

Harlequin



Powered by phpBB 3.x.x © 2005 - 2016 PCforum, webhosting by WebSupport, secured by GeoTrust, edited by JanoF