php站点防止攻击
yanfangphp
这个作者很懒,什么都没留下…
展开
-
XSS跨站脚本与CSRF跨站请求伪造
在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,于是 SQL 注入成了很流行的攻击方式。在这个年代,参数化查询已经成了普及用法,我们已经离 SQL 注入很远了。但是,历史同样悠久的 XSS 和 CSRF 却没有远离我们。由于之前已经对 XSS 很熟悉了,所以我对用户输入的数据一直非常小心。如果输入的时候没有经过 Tidy 之类的过滤,我一定会在模板输出时候全部转义。所以个人翻译 2012-12-13 16:15:50 · 2888 阅读 · 1 评论 -
什么是XSS跨站脚本攻击
跨站脚本攻击(Cross-site scripting,通常简称为XSS)是一种网站应用程式的安全漏洞攻击,允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受到影响。这类攻击通常包含了HTML以及使用者端脚本语言。一般而言,跨站脚本攻击漏洞常见于网页允许攻击者通过输入对网页内容进行改写的地方。由于利用巧妙的注入恶意的指令码到由其他域网页的方法,攻击者可得到了更高的特权,窃取机密的网页翻译 2012-12-13 16:01:51 · 2682 阅读 · 0 评论 -
利用XSS注入漏洞能对网站做什么
或许大家经常看一些高手测试XSS漏洞都是alert一个窗口来。便以为XSS即是如此,当自己alert出窗口来,便说自己发现了漏洞。 其实远没这么简单。你发现的只是程序员的一个小bug而已,远谈不上XSS。它们的关系如同系统漏洞与漏洞利用的关系,不可同日而语。你的系统是否出现过“****内存不能为read”?你是否知道它是溢出漏洞的一种表现呢?但想因此做出exploit远不是那么简单的事情,你能说翻译 2012-12-13 18:28:16 · 3876 阅读 · 0 评论 -
PHP CodeBase: 过滤XSS攻击的PHP函数
那么PHP站点如何防御XSS攻击呢? 下面的函数可以用来过滤用户的输入,保证输入是XSS安全的。具体如何过滤,可以参看函数内部,也有注释。 function RemoveXSS($val) { // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed // thi翻译 2012-12-13 18:33:48 · 1728 阅读 · 1 评论