사용자가 PHP 코드 <?php //code here ?>
을 입력 텍스트 태그에 추가한다고 가정하면 (예 :이 경우에는 필요하지 않음) 여는 태그와 닫는 태그는 <
및 >
으로 변환되거나 그대로 유지됩니다 contenteditable div?입력 태그가 HTML로 'sanitized'되었습니까?
1
A
답변
0
사용자 입력은 DOM의 속성에 첨부 된 원시 텍스트입니다.
HTML이나 PHP 또는 무언가가 완료 될 때까지 (예 : 제출되는 양식 또는 JavaScript가 속성을 읽고 조작하는 경우).
0
원시 텍스트는 표준 HTML 입력에 상주하며 사용자가 입력 한 PHP 코드는 실행되지 않습니다.
코드가 수행하는 작업 (데이터베이스 또는 웹 서비스로 전송)에 따라 공격자는 올바르게 위생되지 않으면 공격을 수행 할 수 있습니다.
따라서 클라이언트와 서버 측 모두에서 사용자 입력을 항상 위생해야합니다 (특히 데이터베이스에 대해 발생하는 경우).
다른 프레임 워크는 위생 처리를 지원합니다. PHP에서는 다음에 액세스 할 수 있습니다. sanitization filters.
참조를 위해 SQL 주입/XSS와 같은 다른 공격에 대해서도 알고 있어야합니다. 몇 가지 일반적인 웹 공격에 대해 간략히 설명한 OWASP 상위 10 개를 살펴보고 PHP filters에 대해 토론하는 것이 좋습니다.
나는 공격자가 데이터베이스에 악성 코드를 저장 관리하는 경우 발생할 수 여기에 사용자 입력을 다시 반영 매우 기본적인 예를 만들었습니다: 일단 데이터가 입력 불구하고
var text = document.getElementById("test").value;
eval(text);
<input id="test" type="text" value="alert('I have access to you document cookies and could use a windows redirection here')" />
관련 문제
- 1. 내가 같은 입력 태그가
- 2. JSF 태그가 HTML로 렌더링되지 않았습니다.
- 3. 지도 태그가 HTML로 작동하지 않습니다.
- 4. 서버 태그가 아니라 HTML로 형성되지
- 5. 태그가 아닌 HTML로 콘텐츠를 검색하려면 어떻게해야합니까?
- 6. 자바 스크립트 태그가 레일에 html로 표시되지 않습니다.
- 7. 데이터베이스의 HTML 태그가 브라우저에서 HTML로 해석되지 않습니다.
- 8. html로 이미지 입력 시도
- 9. Android : 데이터를 html로 입력
- 10. vb.net html로 입력 자리
- 11. Stanford 파서에 태그가 지정된 입력
- 12. 스타일 입력 방법 html로 입력 버튼
- 13. 불확정 인덱스 입력 요소 HTML로
- 14. html로 입력 허용 및 사용
- 15. 전체 HTML을 입력 형식으로 사용할 때 태그가 변환됩니다.
- 16. xsltproc html로 변환하면 빈 요소의 닫기 태그가 제거됩니다.
- 17. 그래서, 내가처럼 보이는 태그가 입력 유형 = 버튼
- 18. flac : "오류 : 입력 파일에 ID3v2 태그가 있습니다."
- 19. HTML : 입력 근처에 img 태그가 있습니다.
- 20. 입력시 HTML 입력 태그가 언제 다시 게시됩니까?
- 21. JavaScript 생성 입력 태그가 텍스트를 표시하지 않습니다.
- 22. 입력 할 때 추가 태그가 표시됩니다.
- 23. type = "file"입력 태그의 이름을 변경합니까? 내가 입력 태그가
- 24. 자동 입력 현재 페이지 URL을 입력 양식을 html로
- 25. PHP에서 입력 html로 datetime 값을 설정
- 26. html로 입력 텍스트 마스크 및 마스크 해제
- 27. 입력 버튼 클릭 이벤트가 HTML로 실행되지 않음
- 28. php 및 html로 날짜 표시 입력
- 29. 사용자가 입력 한 HTML을 Html로 인코딩해야합니까?
- 30. 입력 상자의 방향 제어가 html로 확장됩니다.
감사합니다 PHP를 통해 조작되는 경우 입력 필드에 입력 한 내용이 PHP 코드의 영향을 받습니까? –
@Osman - PHP 스크립트에 양식을 제출하는 방식으로 코드가 PHP 코드로 평가되는지 묻는 중입니다. 아니요, 코드를 작성해야합니다. 그렇지 않으면 텍스트로 표시됩니다. – Quentin
맞아, 고마워! –