Question

Ben sadece bir şeyler kaçan hakkında öğrenme ve nedeniyle XSS saldırıları için $_SERVER['HTTP_HOST'] kullanmak riskli olabilir nasıl okumaya başladı duyuyorum.

Ben bu ile geldi ve benim girişimi bazı geribildirim alabilir merak ediyordum.

htmlspecialchars(
    filter_var( $_SERVER[ 'HTTP_HOST' ], FILTER_SANITIZE_URL ),
    ENT_QUOTES, 'UTF-8'
)

Tamam görünüyor mu?

Yani bu kadar bir değişken güvenli olmasına bağlıdır, ben sadece giriş için sormak zorunda kaldım.

EDIT:

Ben vs gibi temel çapa-HREF'ler, form-eylemler dahil, sitedeki ekran için bu kullanarak olacak

Answer 1

Farklı kaçan fonksiyonlar, örneğin, farklı durumlar için kullanılmalıdır:

urlencode for items that will be dropped in a query string in an <a> etiketi, yani. echo '<a href="index.php?foo=' . urlencode($foo) . '">'; (ayrıca bkz http_build_query )

mysql_real_escape_string SQL deyimindeki gidiyor değişkenler için (ben bind değişkeni tercih rağmen)

htmlentities for strings you want to display to the user, that may possibly have HTML within (see also strip_tags )

Answer 2

Bu, sizin için kullanmak istediğiniz ne bağlıdır. Bunu göstermek istiyorsanız, htmlspecialchars kullanın. Eğer bir veritabanı sorgu olarak kullanmak isterseniz, mysql durumunda mysql_real_escape_string kullanabilirsiniz. (Ya da deyimleri hazırlanmış)

PHP $ _SERVER ['HTTP_HOST'] kaçan, bu kabul edilebilir görünüyor?

2 Cevap

etiketler