[ Príspevkov: 2 ] 
AutorSpráva
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 17.02.14
Prihlásený: 09.01.17
Príspevky: 197
Témy: 77 | 77
Bydlisko: Šuňava
Vek: 20
NapísalOffline : 05.09.2016 13:07 | Zabezpečenie proti XSS - ako nato

Ahojte, hľadal som na internete postupy, ako zabezpečiť stránku, či formuláre voči XSS útokom. Chcel by som vedieť, ako je to najlepšie, povedzme, že máme takýto formulár..
HTML:
Kód:
<form class="login-form" method="post" action="index.php">
      <input type="text" name="Username" placeholder="Meno"/>
      <input type="password" name="Password" placeholder="Heslo"/>
      <button type="submit" name="odoslat">PRIHLÁSIŤ</button>
    </form>

PHP:
Kód:
<?php
include("functions.php");
session_start();
 if(isset($_POST['odoslat'])){
    $username = ($_POST['Username']);
    $password = ($_POST['Password']);
    $login_check = mysqli_query($con,"SELECT `UserID` FROM `Users` WHERE `Username`='$username' AND `Password`='".sha1($password)."'") or die (mysqli_error());
    if(mysqli_num_rows($login_check) == 0){
      $echo = "Nesprávna kombinácia mena/hesla!"; 
    }else{
        $get_id = mysqli_fetch_assoc($login_check);
        $_SESSION['uid'] = $get_id['UserID'];
        $today = date("Y-m-d H:i:s");
        $t = file_get_contents("prihlasenia.txt");
      $t .= $today." Používateľ ".$username." "."sa prihlásil!"."\r\n";
      file_put_contents("prihlasenia.txt",$t);
       header("Location: system.php");           
      }       
    }
  ?>

Samozrejme, že k sha1 by sa mohol pridať ešte salt, no zaujíma ma tá bezpečnosť, našiel som niečo ako htmlspecialcharts, no i tam bolo povedané, že je slabé voči XSS, čo by som mal do scriptov doplniť? Vďaka


Online

Skúsený užívateľ
Skúsený užívateľ
Zabezpečenie proti XSS - ako nato

Registrovaný: 24.01.08
Prihlásený: 18.01.17
Príspevky: 14472
Témy: 65 | 65
Bydlisko: Žilina
Vek: 29
NapísalOnline : 05.09.2016 13:41 | Zabezpečenie proti XSS - ako nato

Ty to nemáš deravé len voči XSS, ale aj proti SQL injection a bohvie voči čomu ešte.

XSS prevention: https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
SQL injection prevention: https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

Mimochodom, rovnako zabudni na SHA1, to je na heslá absolútne nevhodné.
A za ďalšie, pokiaľ nemáš naozaj veľmi dobrý dôvod na custom riešenie, používaj framework. Naozaj nemá zmysel vymýšľať vlastné deravé riešenia.


_________________
C#, PHP, ...
 [ Príspevkov: 2 ] 


Zabezpečenie proti XSS - ako nato



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť proti XSS

2

109

30.05.2014 21:59

Ďuri

V tomto fóre nie sú ďalšie neprečítané témy.

Viacjazyčnosť - ako nato?

4

121

03.04.2016 18:26

walther

V tomto fóre nie sú ďalšie neprečítané témy.

rada ako nato (ci sa to da)

1

420

22.03.2007 12:30

itsgoingd

V tomto fóre nie sú ďalšie neprečítané témy.

nové vs. žiadne nové príspevky alebo ako nato?

3

179

30.09.2011 14:52

wolker

V tomto fóre nie sú ďalšie neprečítané témy.

Zabezpečenie SESSION

2

303

19.05.2011 16:03

Bokos

V tomto fóre nie sú ďalšie neprečítané témy.

Zabezpecenie stranky

3

328

07.04.2009 10:47

onkel1

V tomto fóre nie sú ďalšie neprečítané témy.

zabezpečenie knihy navstev

[ Choď na stránku:Choď na stránku: 1, 2 ]

53

1684

13.06.2008 20:47

chrono

V tomto fóre nie sú ďalšie neprečítané témy.

Ošetrenie/zabezpečenie Registracie?

4

244

04.02.2010 17:00

d0.0b

V tomto fóre nie sú ďalšie neprečítané témy.

[VYRIESENE] Zabezpecenie uploadu

8

297

06.03.2009 19:22

Tamtemius

V tomto fóre nie sú ďalšie neprečítané témy.

.htaccess + .htpasswd Zabezpecenie ...

2

367

12.07.2010 14:25

shaggy

V tomto fóre nie sú ďalšie neprečítané témy.

PHP zabezpečenie administrácie

0

957

12.06.2010 16:33

WebScript

V tomto fóre nie sú ďalšie neprečítané témy.

zabezpecenie eval-u?

12

224

12.09.2010 14:54

stenley

V tomto fóre nie sú ďalšie neprečítané témy.

zabezpecenie formulara pomocou casu

4

228

05.03.2010 21:07

keno 10

V tomto fóre nie sú ďalšie neprečítané témy.

Ochrana proti \n

6

362

11.12.2008 12:49

B.A.X.O

V tomto fóre nie sú ďalšie neprečítané témy.

uprava proti duplicitam

15

230

11.11.2013 12:30

Elrohir

V tomto fóre nie sú ďalšie neprečítané témy.

ochrana proti spamerom

11

406

08.02.2008 14:56

Tominator



Powered by phpBB 3.x.x © 2005 - 2017 PCforum, webhosting by WebSupport, secured by GeoTrust, edited by JanoF