Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Artikel Sql-injectie en XSS onvolledig over htmlspecialchars

Pagina: 1
Acties:

maandag 19 maart 2012 09:57

Acties:
  • Johnny
  • Registratie: December 2001
  • Laatst online: 25-11 15:52

Johnny

ondergewaardeerde internetguru

Topicstarter
In het artikel reviews: Sql-injectie en xss: de beste verdediging wordt gesuggereerd dat het gebruik van htmlspecialchars() afdoende zou zijn bij het voorkomen van XSS. Dit is niet waar! Afhankelijk van de PHP-versie, de meegegeven parameters aan de functie, de gebruikte codering en de plaatsing binnen de HTML zijn er diverse exploits mogelijk!

Een lijst hiervan is hier te vinden:

http://blog.astrumfutura....hars-for-output-escaping/

Ik stel voor dat het artikel wordt aangepast om dit te vermelden aangezien het nu nog steeds een verkeerde oplossing promoot.

[ Voor 9% gewijzigd door Johnny op 19-03-2012 09:59 ]

Aan de inhoud van de bovenstaande tekst kunnen geen rechten worden ontleend, tenzij dit expliciet in dit bericht is verwoord.

maandag 19 maart 2012 10:17

Acties:
  • crisp
  • Registratie: Februari 2000
  • Laatst online: 00:40

crisp

Devver

Pixelated

Dus feitelijk gaat het om 2 dingen:

- afhankelijk van de manier van quoten in html moet je de juiste parameters opgeven voor htmlspecialchars (beter is natuurlijk om gewoon consequent double quotes te gebruiken voor html attributen)
- IE6 is een walking deathtrap (but who cares anymore?)

Intentionally left blank

maandag 19 maart 2012 10:34

Acties:
  • Johnny
  • Registratie: December 2001
  • Laatst online: 25-11 15:52

Johnny

ondergewaardeerde internetguru

Topicstarter
Of als je om één of ander reden UTF-7 gebruikt (of laat gebruiken) dan gaat het alsnog mis in alle IE versies.

Aan de inhoud van de bovenstaande tekst kunnen geen rechten worden ontleend, tenzij dit expliciet in dit bericht is verwoord.

maandag 19 maart 2012 10:48

Acties:
  • crisp
  • Registratie: Februari 2000
  • Laatst online: 00:40

crisp

Devver

Pixelated

Johnny schreef op maandag 19 maart 2012 @ 10:34:
Of als je om één of ander reden UTF-7 gebruikt (of laat gebruiken) dan gaat het alsnog mis in alle IE versies.
mja, da's wel een heel uitzonderlijke situatie natuurlijk (en de auteur van het stuk dat je post merkt ook heel terecht op "JUST DON’T USE UTF-7! EVER!"). En daarbij is het dan nog steeds meer een browser-issue dan een coding-issue.

Intentionally left blank

maandag 19 maart 2012 19:36

Acties:
  • etrans
  • Registratie: April 2002
  • Niet online

etrans

Het is niet mogelijk om dit artikel inclusief reacties af te drukken, de reacties worden niet afgedrukt, alleen het prima artikel...

http://tweakers.net/reviews/2531/all/sql-injectie-en-xss-de-beste-verdediging.html
Kan dit aangepast worden ?

Bedankt ! ;)

maandag 19 maart 2012 21:23

Acties:
  • crisp
  • Registratie: Februari 2000
  • Laatst online: 00:40

crisp

Devver

Pixelated

Als je rechts naast het artikel klikt op "Afbeeldingslocatie: http://tweakimg.net/g/if/icons/printer.png Artikel printen" heb je een optie om het artikel inclusief reacties te printen :)

Intentionally left blank

maandag 19 maart 2012 22:11

Acties:
  • daan.timmer
  • Registratie: Februari 2010
  • Laatst online: 10-11 14:40

daan.timmer

Hier nog een betere uitleg waarom je niet moet en kan vertrouwen op htmlspecialcharacters:
http://stackoverflow.com/...y-php-code-safe-from-inje (eerste antwoord, onder de sql-injectie meuk)
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq