Reklama

REGISTROVAT BLOG

Hledání

Přihlášení

Kategorie

Banan.cz (64) PHP/HTML (129) Grafika, CSS (339) Flash (17) Opensource (183) Webhosting (31) Kritika webů (734) Programování (229) PC sítě (124) Mobilní sítě (31) Internet (314) Vyhledávače, katalogy, SEO (93) Operační systémy (106) Software (322) Databáze (64) Bezpečnost (130) Hardware a mobily (327) Slovník pojmů (23)

RSS zdroje

Články blogu Články v této kategorii Komentáře tohoto článku Co to je RSS?

Štítky

2hotspot 3D studio max Acer Adobe Photoshop Android Antiviry Apple Apple iPhone 3G ASP.NET 2.0 asterisk banan.cz projekty Bráníme si osobní počítač C++/.NET CSS - Plaváčkův seriál Emailoví klienti facebook Filozofie tvorby webu Firebird Firefox Flash - ActionScript freehosting Freeware GIMP Google hardware HTML ICQ klienti internet Internet Explorer iptables IPv6 jak funguje Java JavaScript JavaServer Page a Serverlety Kapesní počítače Komunikační protokoly maxsite.cz Minihry Miranda IM mobily mysql Nebezpečí na internetu obcezdarma.cz Opensource připojení k Internetu PC chladiče PC skříně Perl Photofiltre PHP - instalace/začátky/instrukce Podcasting PostgreSQL Průvodce světem notebooků Projekt Mono Python QIP – Quiet Internet Pager RIPv1 RoboForm Ruby on Rails sémantický web Síťové protokoly Sítě a okolí slovenské katalogy Směrování v síti Smarty Template Engine Sociální sítě software Software pro GNU/Linux SQLite Stavíme si vlastní prezentaci tendence a historie WEBDESIGNU Torrentoví klienti UMTS Unifikovaný modelovací jazyk UML USB Mánie VoIP VPN - virtuální privátní sítě webhosting - administrace webkamery Webové šablony wifi windows - vzhled/sw/úpravy systému Yahoo! Widgets

Období

celý rok květen (1)

celý rok leden (6) březen (6) duben (4) červenec (12) srpen (15)

celý rok leden (15) únor (9) březen (15) duben (9) květen (11) červen (12) červenec (4) srpen (8) září (5) říjen (7) listopad (15)

celý rok leden (24) únor (26) březen (37) duben (48) květen (39) červen (25) červenec (24) srpen (17) září (23) říjen (8) listopad (9) prosinec (5)

celý rok leden (15) únor (43) březen (37) duben (34) květen (26) červen (76) červenec (55) srpen (37) září (30) říjen (24) listopad (24) prosinec (28)

celý rok leden (29) únor (20) březen (25) duben (19) květen (20) červen (19) červenec (35) srpen (39) září (33) říjen (28) listopad (26) prosinec (20)

celý rok leden (97) únor (66) březen (92) duben (77) květen (53) červen (65) červenec (71) srpen (48) září (37) říjen (48) listopad (41) prosinec (32)

celý rok leden (29) únor (27) březen (26) duben (23) květen (30) červen (47) červenec (55) srpen (83) září (81) říjen (111) listopad (103) prosinec (90)

celý rok leden (25) únor (17) březen (22) duben (14) květen (7) červen (8) červenec (9) srpen (10) září (20) říjen (12) listopad (10) prosinec (8)

celý rok leden (21) únor (28) březen (37) duben (23) květen (16) červen (14) červenec (14) srpen (10) září (9) říjen (17) listopad (12) prosinec (12)

celý rok květen (29) červen (16) červenec (67) srpen (136) září (73) říjen (52) listopad (15) prosinec (25)

Odkazy

webové stránky zdarma maxsite.cz - miniaplikace pro web Přidej kritiku webu banan.cz - dobrá volba banan.cz Tak máme nové stránky, u banan.cz banan.cz - ZKUŠENOSTI hosting banan.cz webhosting banan.cz naděje banan.cz narovinu.bloger.cz www.bulvar-farma.cz hostingmix.cz http://www.srovnavacipravo.cz/ http://sk8-shop.cz/ půjčovna zahradní techniky ostrava

Návštěvnost

Bezpečnost PHP - HTML ve formulářích

Napsal O webu (») 28. 11. 2007 v kategorii PHP/HTML, přečteno: 2843×

Kde jsou bezpečnostní rizika

O co se jedná

Pokud chceme uživatelům umožnit vkládat HTML kód, musíme zvážit rizika. Uživatel může do textu vložit uzavírající tag >, čímž poruší kompletně strukturu stránky a v horším případě může na serveru spustit svůj PHP kod, což už je fatální chyba. K filtrování řetězců které mají v HTML význam máme v PHP speciální funkce.

Například nejpoužívanější htmlentities, která převádí která převádí HTML tagy a speciální znaky na jejich entity, tedy převádí znak na neškodný řetězec.

Druha je pak striptags, která pouze tagy odstraňuje a my tak ztratíme jakoukoli informaci o jejich přítomnosti.

Co můžeme a co ne

Většinou chceme povolit tagy image a anchor.
Pro důkladné ošetření kódu je v tom to případě přijmout informaci o odkazu, validovat ji pro funkčnost a korektnost a vložit ji zpět do korektního kódu.

Validace pro vkládání odkazu nebo obrázku by měla obsahovat následující:

odstranit uvozovky z tagu jak dvojité tak jednoduché

odmítnout jakékoli URL obsahující ?

odmítnout jakékoli URL obsahující odkaz na dynamické stránky (tedy php, asp ...)

odmítnout jakékoli URL obsahující jiný protokol než http

a pak opět vrátit uvozovky na konec a na začátek odkazu.

Autor: Filip Koval

Facebook Twitter Topčlánky.cz Linkuj.cz

Komentáře

Zobrazit: standardní | od aktivních | poslední příspěvky | všechno

Článek ještě nebyl okomentován.

Nový komentář