[ Príspevkov: 2 ] 
AutorSpráva
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 17.02.14
Prihlásený: 17.12.17
Príspevky: 319
Témy: 114 | 114
Vek: 21
NapísalOffline : 05.09.2016 13:07 | Zabezpečenie proti XSS - ako nato

Ahojte, hľadal som na internete postupy, ako zabezpečiť stránku, či formuláre voči XSS útokom. Chcel by som vedieť, ako je to najlepšie, povedzme, že máme takýto formulár..
HTML:
Kód:
<form class="login-form" method="post" action="index.php">
      <input type="text" name="Username" placeholder="Meno"/>
      <input type="password" name="Password" placeholder="Heslo"/>
      <button type="submit" name="odoslat">PRIHLÁSIŤ</button>
    </form>

PHP:
Kód:
<?php
include("functions.php");
session_start();
 if(isset($_POST['odoslat'])){
    $username = ($_POST['Username']);
    $password = ($_POST['Password']);
    $login_check = mysqli_query($con,"SELECT `UserID` FROM `Users` WHERE `Username`='$username' AND `Password`='".sha1($password)."'") or die (mysqli_error());
    if(mysqli_num_rows($login_check) == 0){
      $echo = "Nesprávna kombinácia mena/hesla!"; 
    }else{
        $get_id = mysqli_fetch_assoc($login_check);
        $_SESSION['uid'] = $get_id['UserID'];
        $today = date("Y-m-d H:i:s");
        $t = file_get_contents("prihlasenia.txt");
      $t .= $today." Používateľ ".$username." "."sa prihlásil!"."\r\n";
      file_put_contents("prihlasenia.txt",$t);
       header("Location: system.php");           
      }       
    }
  ?>

Samozrejme, že k sha1 by sa mohol pridať ešte salt, no zaujíma ma tá bezpečnosť, našiel som niečo ako htmlspecialcharts, no i tam bolo povedané, že je slabé voči XSS, čo by som mal do scriptov doplniť? Vďaka


Offline

Skúsený užívateľ
Skúsený užívateľ
Zabezpečenie proti XSS - ako nato

Registrovaný: 24.01.08
Prihlásený: 13.09.17
Príspevky: 14691
Témy: 66 | 66
Bydlisko: Žilina
Vek: 30
NapísalOffline : 05.09.2016 13:41 | Zabezpečenie proti XSS - ako nato

Ty to nemáš deravé len voči XSS, ale aj proti SQL injection a bohvie voči čomu ešte.

XSS prevention: https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
SQL injection prevention: https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

Mimochodom, rovnako zabudni na SHA1, to je na heslá absolútne nevhodné.
A za ďalšie, pokiaľ nemáš naozaj veľmi dobrý dôvod na custom riešenie, používaj framework. Naozaj nemá zmysel vymýšľať vlastné deravé riešenia.


_________________
C#, PHP, ...
 [ Príspevkov: 2 ] 


Zabezpečenie proti XSS - ako nato



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť proti XSS

v PHP, ASP

2

130

30.05.2014 21:59

Ďuri

V tomto fóre nie sú ďalšie neprečítané témy.

zabezpecenie auta proti kradezi

v Automobily, motorky

18

5352

29.05.2015 11:21

Igy Horvath

V tomto fóre nie sú ďalšie neprečítané témy.

Zabezpečenie súborov proti stiahnutiu

v Ostatné

2

640

16.10.2007 18:25

kmsa

V tomto fóre nie sú ďalšie neprečítané témy.

OC pamati, ako nato? resp ako :)

v Biosy a ladenie výkonu

10

504

02.10.2007 19:14

eXistenZ

V tomto fóre nie sú ďalšie neprečítané témy.

Ako nato?

v Redakčné systémy

3

629

23.03.2007 18:55

altt

V tomto fóre nie sú ďalšie neprečítané témy.

Ako nato (skrinka) ?

[ Choď na stránku:Choď na stránku: 1, 2 ]

v PC skrinky a zdroje

32

409

15.07.2015 21:14

Jalo

V tomto fóre nie sú ďalšie neprečítané témy.

Viacjazyčnosť - ako nato?

v PHP, ASP

4

164

03.04.2016 18:26

walther

V tomto fóre nie sú ďalšie neprečítané témy.

[Ako Nato] Internet - Router

v Články

13

4239

22.09.2010 8:40

dodisenko

V tomto fóre nie sú ďalšie neprečítané témy.

Nova siet, ako nato?

v Siete

4

145

15.01.2015 11:40

mirom

V tomto fóre nie sú ďalšie neprečítané témy.

vymazať už vymazané?? :-)) ako nato

v Ostatné programy

3

269

09.12.2010 21:12

DAVE1979

V tomto fóre nie sú ďalšie neprečítané témy.

Pust to talk, ako nato?

v Mobilné zariadenia

1

697

17.03.2008 15:23

brm

V tomto fóre nie sú ďalšie neprečítané témy.

webcam na stranke ako nato ?

v Ostatné

3

507

15.06.2008 11:57

Numline1

V tomto fóre nie sú ďalšie neprečítané témy.

!Neviem ako nato...predny ventilator!

v Modifikácie, návody a projekty

15

2596

21.06.2010 11:01

mimkork

V tomto fóre nie sú ďalšie neprečítané témy.

Debian uncache? Operačnej Pamäte... Ako nato?

v Operačné systémy Unix a Linux

4

523

23.08.2009 17:51

ssssss

V tomto fóre nie sú ďalšie neprečítané témy.

Reinštálacia Windows XP - Ako nato + Internet

v Operačné systémy Microsoft

5

2333

14.03.2007 20:50

zmija31

V tomto fóre nie sú ďalšie neprečítané témy.

ventilator na 110% ci 130% ??? ako nato?

v Elektronika

7

718

30.03.2008 13:29

Harlequin



© 2005 - 2017 PCforum, edited by JanoF