第七色在线视频,2021少妇久久久久久久久久,亚洲欧洲精品成人久久av18,亚洲国产精品特色大片观看完整版,孙宇晨将参加特朗普的晚宴

為了賬號(hào)安全,請(qǐng)及時(shí)綁定郵箱和手機(jī)立即綁定
已解決430363個(gè)問(wèn)題,去搜搜看,總會(huì)有你想問(wèn)的

在PHP站點(diǎn)中避免XSS攻擊的最佳實(shí)踐是什么?

在PHP站點(diǎn)中避免XSS攻擊的最佳實(shí)踐是什么?

PHP
慕容3067478 2019-06-18 15:19:53
在PHP站點(diǎn)中避免XSS攻擊的最佳實(shí)踐是什么?我已經(jīng)配置了PHP,以便啟用魔術(shù)引號(hào),并關(guān)閉注冊(cè)表全局。對(duì)于從用戶輸入派生出來(lái)的任何輸出,我都會(huì)盡我最大的努力調(diào)用htmlproperties()。我還偶爾在數(shù)據(jù)庫(kù)中搜索XSS附件中常用的內(nèi)容,例如.<script我還應(yīng)該做些什么,我怎樣才能確保我想要做的事情是總完成了。
查看完整描述

3 回答

?
慕村225694

TA貢獻(xiàn)1880條經(jīng)驗(yàn) 獲得超4個(gè)贊

我認(rèn)為一個(gè)人在輸入過(guò)程中不應(yīng)該逃避任何事情,只有在輸出時(shí)。因?yàn)?大多數(shù)情況下)你不能假設(shè)你知道數(shù)據(jù)的去向。例如,如果您的表單獲取稍后發(fā)送的電子郵件中顯示的數(shù)據(jù),則需要不同的轉(zhuǎn)義(否則惡意用戶可以重寫(xiě)您的電子郵件頭)。

換句話說(shuō),您只能在數(shù)據(jù)“離開(kāi)”您的應(yīng)用程序的最后一刻逃離:

  • 列表項(xiàng)目
  • 寫(xiě)入xml文件,轉(zhuǎn)義為xml
  • 寫(xiě)入DB,轉(zhuǎn)義(針對(duì)特定DBMS)
  • 寫(xiě)電子郵件,逃避電子郵件

走捷徑:

  1. 你不知道你的數(shù)據(jù)會(huì)去哪里
  2. 數(shù)據(jù)可能最終會(huì)出現(xiàn)在多個(gè)地方,需要不同的轉(zhuǎn)義機(jī)制,但不是兩者兼而有之。
  3. 為錯(cuò)誤的目標(biāo)轉(zhuǎn)義的數(shù)據(jù)確實(shí)不太好。(例如,收到一封主題為“去湯米的酒吧”的電子郵件。)

如果您在輸入層轉(zhuǎn)義數(shù)據(jù)(或者您需要重新轉(zhuǎn)義它,等等),ESP#3就會(huì)出現(xiàn)。

PS:我會(huì)再次建議不要使用魔術(shù)_引號(hào),那是純粹的邪惡!


查看完整回答
反對(duì) 回復(fù) 2019-06-18
  • 3 回答
  • 0 關(guān)注
  • 472 瀏覽

添加回答

舉報(bào)

0/150
提交
取消
微信客服

購(gòu)課補(bǔ)貼
聯(lián)系客服咨詢優(yōu)惠詳情

 幫助反饋 APP下載

慕課網(wǎng)APP
您的移動(dòng)學(xué)習(xí)伙伴

 公眾號(hào)

掃描二維碼
關(guān)注慕課網(wǎng)微信公眾號(hào)