Javascript Injection

Zoek eens op XSS icm PHP XSS is de term die je zoekt

Ik weet niet wat je precies wil doen met het systeem, maat als de users geen html hoeven te kunnen gebruiken kun je gewoon "<" en ">" er uit filteren. Dat doe ik altijd, heel veilig :-)

striptags() ?

PHP heeft er wel tientallen functies voor, het is maar net wat jij wil doen. Met functies als htmlentities() en htmlspecialchars() zorg je ervoor dat speciale tekens alleen maar weergegeven worden in de browser en met functies als strip_tags() kan je gewoon tags wegfilteren. Bekijk deze functies (en gerelateerde functies) eens in de PHP manual.

DNA_Saint schreef op dinsdag 20 maart 2007 @ 15:22:
Ik ga ze allemaal eens even bekijken. Ik kwam bij de meeste Prevent SQL injections namelijk meestal de functions tegen die ik heb gebruikt...

SQL-injection en HTML-injection hebben weinig met elkaar te maken: bij SQL-injection wordt de database gehackt. Bij HTML-injection wordt de webpagina die de bezoeker krijgt gemanipuleerd.

SQL-injection voorkom je door user input te escapen: zorg ervoor dat de structuur van de SQL-query niet veranderd. Dit kun je doen in je applicatie, maar ook in je database door met Stored Procedures of Parameterized Queries te werken.

HTML-injection is te voorkomen door te zorgen dat je user input niets verandert aan de structuur van je HTML-pagina. Meestal is de functie htmlspecialchars afdoende om je user input mee te filteren. In sommige gevallen zul je andere controles moeten uitvoeren, bijvoorbeeld als je achtergrondkleuren laat invullen.

Hoezo gebruik je overigens nog stripslashes nadat je iets uit je database gehaald heb. Zover ik weet is dat helemaal niet nodig. Behalve als je eerst ook addslashes gedaan hebt.

martijnve schreef op dinsdag 20 maart 2007 @ 15:10:
Ik weet niet wat je precies wil doen met het systeem, maat als de users geen html hoeven te kunnen gebruiken kun je gewoon "<" en ">" er uit filteren. Dat doe ik altijd, heel veilig :-)

wat gebeurt er als je bijvoobeeld javascript:alert() gebruikt in een [img][/img] tag?. Het is veiliger om de userinput te doorlopen en alle tekens behalve letters en cijfers te vervangen door &#ascii_nummer;.

Een voorbeeld voor XSS invoer staat hier

Verwijderd schreef op donderdag 22 maart 2007 @ 09:09:
[...]


wat gebeurt er als je bijvoobeeld javascript:alert() gebruikt in een [img] tag?. Het is veiliger om de userinput te doorlopen en alle tekens behalve letters en cijfers te vervangen door &#ascii_nummer;.

Nonsense. Als je UBB-parsing doet en een bepaalde tag een URL-parameter verwacht dan moet je die parameter gewoon valideren als een URL en daarbij eventuele gevaarlijke (pseudo-)protocollen afkeuren (dus de tag niet parsen) of beter: enkel bepaalde protocollen toestaan.

[ Voor 4% gewijzigd door crisp op 22-03-2007 10:17 ]