XSS Block

Door SeaCrime op 03-10-2008 19:06

210 views

Hoi,

Ik heb een vraagje, op mijn site kun je nog gewoon via XSS met de
website "kloten", wat ik natuurlijk niet zo fijn vind. Zie eventueel dit:

Klik

Hoe kan ik dit nou tegen gaan? Bestaat er een php functie die xss filtert ofzo?

Bij voorbaat dank,

Jonas

03-10-2008 19:11

SeaCrime

03-10-2008 19:14

Oké, bedankt Evert.

Maar ik heb ook dingen waar je zelf iets KUNT invullen.

Dus message.php?subject=Blaat

waar je een subject van het bericht al in de URL kunt meesturen,

is de XSS dan niet anders te filteren?

Bij voorbaat dank.

Onbekend Onbekend

03-10-2008 19:20

Kun je dat niet beter met POST doen?

03-10-2008 19:24

SeaCrime

03-10-2008 19:27

Evert, maar ik heb dus deze tabel:

faq_articles {

name text ...
+++++++++++++++++
Blaat blaat ...
Bla blaat ...

}

Hoe maak ik daar een array van, ik werk namelijk nooit met
arrays. Sorry als dit een domme vraag is.

Ik weet het te waarderen dat jullie me helpen!

03-10-2008 19:47

- -

03-10-2008 20:17

Zoek even hiernaast naar de PHP Beginnershandleiding en de MySQL beginnershandleiding :)

- -

03-10-2008 21:06

[php]strip_tags[/php]

Bo az

03-10-2008 21:20

POST is absoluut geen oplossing om XSS te voorkomen, ook mysql_real_escape_string gaat geen XSS tegen. Het is overigens wel belangrijk dat je mysql_real_escape_string gebruikt, maar dat heeft dan weer met sqlinjection te maken.

Strip_tags is een goede maatregel tegen XSS, maar heeft een belangrijk nadeel en dat is dat de tags gewoon volledig gewist worden.

Ik denk dat htmlentities is wat je zoekt dit zet speciale tekens om zodat ze geen betekenis meer hebben. Vergeet dat als je deze maatregel gebruikt je dit pas mag uitvoeren op het moment dat je de gegevens uit de database haalt en niet voordat je ze er in stopt. Heeft te maken met een mogelijk dubbele bewerking.

Reageren

Inloggen om te reageren