例如,假设我有一个接收并显示用户评论(文本)的网站。我担心接收用户提交的漏洞以及显示提交的时间。
关注:
跨站点脚本攻击
SQL注入
我的问题是,是否有更多可能来自用户文本输入的攻击?另外,在哪些方面我可以使用PHP,Javascript来防范此类攻击?
谢谢,快乐的圣诞节!
答案 0 :(得分:1)
JavaScript不是XSS,CSRF攻击的障碍,因此您应该关心服务器端保护。如果你谈论函数,那么这些将帮助你从XSS:htmlentities(),strip_tags(),utf8_decode();并且正如Zar所说,mysql_real_escape_string将帮助您从SQL注入。 有很多文章专门讨论SQL注入,XSS,CSRF,会话劫持。转到http://phpsec.org/projects/guide/并阅读所有内容。
答案 1 :(得分:0)
您可以使用strip_tags($var)来防范XSS。
mysql_real_escape_string($var)将为您提供基本的SQL注入保护。
答案 2 :(得分:0)
查看用于清理和验证不同类型数据的php Filter Library,从布尔值到电子邮件地址,filter_input和filter_input_array等功能可以使您的应用程序更安全而聪明。
答案 3 :(得分:-2)
如果您使用ajax将某些表单数据作为url的一部分发送到服务器,请按照这样对其进行编码
encodeURIComponent(yourFormInputData);
并记得在服务器端解码它们。