어떻게 완전히 PHP에서 XSS-공격을 방지 할 수 있습니까? 이것은 HTML 태그 나 다른 서식을 신경 쓰지 않는다고 가정합니다. strip_tags를 실행하고 완전히 안전 할만큼 충분합니까?PHP : XSS 공격을 완전히 막는 방법?
답변
htmlspecialchars()
및 strip_tags()
은 모두 HTML 페이지의 출력을 위해 사용자 입력을 정리하는 데 안전합니다.
관련 :
컨텍스트에 따라 다릅니다. 당신은 온 클릭 이벤트 등의 내부에 자바 스크립트 문자열에, 자바 스크립트, CSS에서, 태그 사이를 출력 있습니까 – Erlend
입력은 HTML 코드가이 기능을 작동하지만 경우에 같은 코드가 포함 입력하는 경우 :에 javscript : 경고 (1) 이 기능 XSS에서 유를 보호 할 수 있습니다 ... –
@Pouya은 지금은 넌센스입니다. HTML 요소가 들어 있지 않으면 공격자가 자바 스크립트를 어떻게 실행합니까? –
가장 쉬운 방법은 단순히 HTML 태그를 입력으로부터 사용자를 방지하는 것입니다. 당신은() 또는 반드시 htmlspecialchars()를 strip_tags 경우 모든 사용자 입력은 다음 <script>
태그를 소개 할 수있는 방법이 없습니다.
제한된 마크 업을 허용하려면 bbcode와 유사한 구문을 사용할 수 있습니다 (PHP 라이브러리를 찾는 것이 어렵지 않아야합니다. 필자가 직접 한 적이 없으므로 권장 사항이 없습니다). 또는 HTMLpurifier를 사용하여 사용자가 입력 할 수있는 마크 업을 제한 할 수 있습니다.
- 1. HTML 인코딩은 모든 종류의 XSS 공격을 차단합니까?
- 2. jQueryUI Autocomplete 사용시 XSS 교차 사이트 스크립팅 공격을 방지하는 방법
- 3. BBCodes 사용하기 ... HTML을 파싱하거나 완전히 제거 하시겠습니까? (XSS/PHP)
- 4. SQL 주입 및 XSS 공격을 피하기 위해 FILTER_SANITIZE_STRING만큼 충분합니까?
- 5. XSS 및 기타 공격을 피하기 위해 $ _GET 매개 변수를 sanitize
- 6. 쿼리 문자열에 <script> 요소가있는 XSS 공격을 방지하려면 어떻게합니까?
- 7. XSS PHP 로그 필터?
- 8. ajax 양식 제출에 무차별 대입 공격을 막는 방법은 무엇입니까?
- 9. DOM을 제거하고 태그를 다시 제거하여 공격을 최적화하십시오.
- 10. Markdown (strip_tags 포함)으로 XSS 공격을 막을 수 있습니까?
- 11. 내 소프트웨어/웹 사이트에서 XSS 공격을 테스트 할 텍스트/코드
- 12. XSS 공격을 방지하기 위해 Java에서 HTML 코드를 어떻게 위생 처리합니까?
- 13. DOM XSS 공격 탐지
- 14. PHP XSS 예방 화이트리스트 작성
- 15. WYSIWYG 편집기에서 HTML을 렌더링해야 할 때 XSS 공격을 방지하는 방법은 무엇입니까?
- 16. 외부 웹 사이트에서 이미지를 렌더링 할 때 XSS 공격을 방지하는 방법
- 17. IE의 XSS - 우회 방법?
- 18. XSS를 막는 자바 스크립트
- 19. PHP로 XSS 예방하기
- 20. WYSIWYG 및 XSS
- 21. XSS 예방. <script는 충분합니까?
- 22. DataGridView 열의 증가를 막는 방법
- 23. cin의 콘솔 출력을 막는 방법
- 24. php : $ _POST에서 SQL injection을 막는 법
- 25. PHP : 인스턴스 생성을 막는 클래스 생성자의 표준
- 26. 메일의 최대 실행 시간 제한을 막는 PHP
- 27. Struts의 XSS 취약점을 방지하는 방법
- 28. C# MVC : ASP.NET 사이트에서 DOS (Denial of Service) 공격을 막는 좋은 방법은 무엇입니까?
- 29. ejabberd가 흉고를 사용하는 것을 막는 방법
- 30. 결제 게이트웨이 및 XSS
[strip_tags()가 스크립팅 공격에 취약합니까?] (http://stackoverflow.com/questions/5788527/is-strip-tags-vulnerable-to-scripting-attacks) – Gordon
@edem : XSS 취약점 언어에 독립적입니다. – Gumbo
나는 PHP가 더 취약하다는 것을 안다. –