هل يكفي فلترة المدخلات في PHP للحماية من ثغرة XSS

arabyami

انا مبتدئ في PHP وأستخدم بضع دوال لفلترة المدخلات من أكواد HTML والباك سلاش وغيرها, والسؤال: هل يكفي هذا للحماية من ثغرة XSS ؟

التعليقات

khashabawy - عبدالله خشبة

نعم تكفى و لكن .. ليست المشكلة فى هل ستكفى .. المشكلة فى أن ستنسى أن تضع الحماية فى أحد المدخلات فتكون هناك ثغره :)
كما أنصحك بأن تتأكد من مصدر البيانات .. بمعنى عندما يقوم أحدهم بعمل submit ل form فى موقعك تأكد أن ال Referrer هو عنوان صفحة الفورم و أنه لم يقم بذلك من مصدر خارجى .
لا تنسى الحماية من ال csrf

Hussam Abd

ما هو csrf

khashabawy - عبدالله خشبة

http://www.wikihow.com/Prevent-Cross-Site-Request-Forgery-%28CSRF%29-Attacks-in-PHP

billal em - بلال ا.م

هذه إحدى الروابط من مفضلتي
http://blog.astrumfutura.com/2013/04/20-point-list-for-preventing-cross-site-scripting-in-php/

بركات

ثغرة الـxss سببها أن المبرمج نسي أن يحول escape رموز الـhtml مثل < إلى < عند العرض (لاحظ أن المشكلة تظهر عند العرض وليس عند الإدخال). حلها فقط أن تعمل escape عند عرض النصوص، استخدم htmlspecialchars في php، مثلاً http://codepad.org/8B5AGOVo. هذا حلها الفلترة والحذف ليست حلول.
لاتحذف أي شيء من مدخلات المستخدين أو تعدلها فهذا مزعج للمستخدمين، بعض التطبيقات السيئة إذا كتبت نص اختفى نصفه أو تحول لنجوم بسبب الفلترة، إذا كان المدخل خطأ، كأن تطلب رقم والمستخدم أدخل حرف، فأعطه رسالة أنه خطأ واطلب منه التصحيح، لكن لاتحذف أو تعدل شيء.

	الموضوع و التعليقات و باقي البيانات في هذه الصفحة منقولة و معدلة من المصدر على الرابط التالي : https://io.hsoub.com/webdev/10199
	هذا الموضوع مرخص تحت : رخصة المشاع الإبداعي BY-SA

المشاركة :