Специальные символы, пробелы, акценты и XSS в записи PHP

У меня есть проблема, которая делает меня уязвимым, когда дело доходит до регистрации новых пользователей в моей базе данных. Я хотел бы знать это: 1. Сценарии в реестре, 2. Акценты в реестре, 3. Специальные символы, 4. Пробелы в имени

1. <script>alert("alerta")</script>

2. ñàó

3. )(/&%$·"!ª[]{}-_,`^

4. hola k ase

При необходимости я создаю объектно-ориентированную систему MySQLi.

1
задан 15.07.2016, 02:56
3 ответа

Чтобы предотвращать атаку XSS (Кросс Сите Scripting) могут просачиваться данные с htmlspecialcharts

Если мы получаем данные посредством $_GET, $_POST мы должны выдавать всегда данные перед тем, как добавлять их к базе данных.

Если есть различные шрифты введения данных, лучшая форма - это во время показывания данных, просачивания перед тем, как быть бланками.

Пример атаки XSS

//Test Ataque XSS 
$str='<script>alert("hacked")</script>';

//Sin protección XSS
echo $str;

//Protección XSS - Cross Stie Scripting
echo htmlspecialchars($str, ENT_QUOTES, 'UTF-8');

Как ты можешь наблюдать с echo $str в браузере он отпустит поле ввода сообщения с текстом "hacked", чтобы это предотвращать, использовать htmlspecialchars...

1
ответ дан 24.11.2019, 13:50

Ты можешь использовать функцию "htmlspecialcharts" php, чтобы предотвращать инъекции кода! это может подавать тебя, когда пользователи регистрируют.

0
ответ дан 24.11.2019, 13:50

scripting Cross-Сайт или XSS в наборе уязвимости, которая касается браузеров, основанных в scripts в стороне клиента; НЕ могут касаться прямо твоей базы данных (будьте Mysql или другая).

, Но если ты позволяешь, что клиенты сохраняли scripts в твоих подмостках sГ - может быть уместно, что ты отлаживаешь то, что ты возвращаешь с Mysql/PHP в браузер клиента контролируя quГ©, или нет позволительным.

PodrГ-Схвати, например менять с одной expresiГіn регулировать каждый tag <script>, чтобы мешать тому, чтобы он работал в браузере клиента.

0
ответ дан 24.11.2019, 13:50