2. 질의 응답
  3. htmlentities() 글 머리 기호가 맞습니까?

htmlentities() 글 머리 기호가 맞습니까?

2009-12-11 9 views
6

나는 XSS 공격에 대해 PHP 함수 htmlentities()를 사용하고 htmlspecialchars와 같은 관련 함수를 사용하는 보안에 대해 스스로에게 묻고있었습니다.htmlentities() 글 머리 기호가 맞습니까?

덕분에 많이 :) 당신은 명시 적으로 적절한 인코딩을 지정해야합니다

출처

2009-12-11 fatmatto

답변

8

(예를 들면 : UTF-8), 크리스 적절한 인코딩없이, 심지어 전화를 htmlentities 코드를 삽입하는 방법에 대한 게시물을했다.

http://shiflett.org/blog/2005/dec/google-xss-example

출처

2009-12-11 22:56:07

+0

고마워요. 정확하게 제가 찾던 증명의 종류입니다. :) 나는 인코딩 문제를 연구해야합니다. 그것에 관한 좋은 문서를 알고 있습니까? – fatmatto

+1

Gmail 연락처 xss의 실제 예를 읽고 아래 게시물에서 다운로드 할 수있는 악용 사례를 읽으시면 보안 코드 작성 방법에 대한 아이디어를 얻으실 수 있습니다 : http://uneasysilence.com/ archive/2007/01/9025/ 다음은 유용 할 수있는 치트 시트입니다. http://openmya.hacker.jp/hasegawa/security/utf7cs.html –

+0

대단히 감사합니다. D – fatmatto

4

는 방탄, 그것은 당신에게 100 %를 절약 할 수 없다되지 않습니다. 보안과 관련하여 개발자는 개발자의 책임이 있음을 기억해야합니다. 언어는 많은 보안 기능을 제공하므로 개발자는 화이트리스트 접근 방식이나 블랙리스트 접근 방식을 사용하여 사이트 보안 방법을 고수해야합니다. htmlentities가 전부라면, codeigniter, kohana와 같은 프레임 워크는 그들 자신의 위대한 보안 기능을 가지고 오지 않을 것입니다.

가장 중요한 것은 사용자가 입력 한 모든 입력을 살균하고 필터링하는 것입니다.

출처

2009-12-12 05:53:08 Sarfraz

0

아니요, htmlspecialcharshtmlentities과 같은 기능은 모든 교차 사이트 스크립팅의 경우를 보호하지 않습니다. 이 기능은 도움이되지 않습니다하는

사례는 다음과 같습니다

특히 후자의 이유가 종종 누락됩니다. OWASP’s XSS Prevention Cheat Sheet에는 HTML 문서에서 주입이 발생할 수있는 많은 예제가 있습니다. 그러나 모든 HTML 특수 문자가 자바 스크립트 코드를 삽입하고 실행해야하는 것은 아닙니다.

출처

2014-07-12 14:41:38 Gumbo

관련 문제

 관련 문제