Php: безпека. Що таке xss.

Всім привіт! У цій статті ми розглянемо, що таке XSS-атака і як від неї захиститися.

Що таке XSS?

XSS (Cross Site Scripting) - міжсайтовий скриптинг. За допомогою XSS-вразливостей зазвичай зловмисники крадуть cookies користувачів, використовуючи вставки jаvascript коду. Даний вид атаки практично безпечний для сервера, але дуже небезпечний для користувачів.

Як захиститися від XSS?

Зазвичай подібну уразливість можна знайти в формах або в get запитах. Наприклад, у нас є форма пошуку на сайті. Спробуйте ввести туди подібну команду:

Відео: Як стати Хакером? - Вся правда від Профі

Якщо ви побачите спливаюче вікно з інформацією про cookies, значить форма схильна атаці.

Відео: PHP: основи безпеки сайту. SQL-ін`єкції, XSS-атаки і захист від них

Те ж саме можна зробити і для get запитів. Просто підставте замість потрібного значення вже відому нам команду:

http://site.ru/script?query=

Насправді існують багато різновидів коду, вставляють який в форми або запити можна отримати доступ до інформації на сайті, але нам, як розробникам, важливо не це, а те, як від цієї атаки захиститися. Давайте про це і поговоримо.

Відео: PHP PDO Безпека при роботі з зовнішніми даними

Як захиститися від XSS?

Щоб захиститися від XSS, потрібно просто замінити всі небезпечні символи на безпечні.

$ strainer = array("Lt;","Gt;") - 
$ _GET[`Query`]= str_replace($ strainer,"|", $ _GET[`Query`]) -

Щоб використовувати стрейнер для кожного символу, можна написати функцію:

Відео: Основи PHP

function xss_cleaner($ array){ 
 $ strainer = array("Lt;","Gt;") - 
foreach($ array as $ num = Gt; $ xss)", $ xss) - 
 
return $ array- 
} 
 
$ _REQUEST = xss_cleaner($ _REQUEST) -

Отже, на цьому все. Дякую за увагу!

Поділися в соціальних мережах:

Схожі