Comments on: Как защитить свой web ресурс. Примеры безопасных PHP скриптов.

By: Сергей

Сергей — Tue, 29 Sep 2009 12:52:48 +0000

Да, именно так я и сделал.

By: Владимир

Владимир — Tue, 29 Sep 2009 11:21:54 +0000

Вы, наверное, имели ввиду "не создавать переменную с другим именем".
В вашем случае переменная $Name существует отдельно от элемента массива $_POST[‘Name’].

таким образом скрипт также будет возвращать введенное значение пользователем в окно формы с заменой спец символов

Нет, так просто автозаполнение формы сделать не получится.
Нужно добавить примерно такой код
input …. value=""…

By: Сергей

Сергей — Tue, 29 Sep 2009 04:06:23 +0000

Интересно. Я только начинаю программировать на PHP. Я так понимаю вместо предложенного автором способа ($safeText = htmlspecialchars($_POST[‘text’]);), чтобы не создавать дополнительную переменную можно использовать, например, $Name = htmlspecialchars($_POST[‘Name’]); или $Text = htmlspecialchars($_POST[‘Text’]);, таким образом скрипт также будет возвращать введенное значение пользователем в окно формы с заменой спец символов.

By: Владимир

Владимир — Fri, 04 Sep 2009 17:51:05 +0000

Да, это точно XSS касается только удаления скриптов из пользовательского ввода, порча дизайна – отдельная тема… но тоже важная

By: vvpol

vvpol — Thu, 03 Sep 2009 19:53:05 +0000

Например, вы хотите в сайдбаре показать виджет с последними комментариями…

это не пользовательский ввод…
По поводу Word-а никаких проблем, там все под классы и корректно ни в один wysiwyg он не войдет, в смысе, пользователь сам увидит, что ничего не получилось.
По поводу RSS… честно говоря, не знал что там html форматированый текст гонят…
А вот за идею корректной обрезки форматированного текста – Вам огромный respect. На вскидку, все ложится отлично. К среде выложу тест.
Кажется, мы уже далеко ушли от темы xss %o)

By: Владимир

Владимир — Thu, 03 Sep 2009 17:30:52 +0000

Не думаю, что тут есть правильный вариант. Могут быть разные ситуации.
Например, вы хотите в сайдбаре показать виджет с последними комментариями. Но естественно не полными, а, например, только первые 10 слов.
Что будет если посетитель выделил слова с девятого по одиннадцатое жирным. Если просто обрезать текст – получим не закрытый тег.
Кроме того, может быть ситуация когда посетитель вставляет в WYSIWYG редактор текст из Word, и он отправляется со всех кучей тегов.
В таких случаях библиотеки вроде HTML Purifier очень помогают.

By: vvpol

vvpol — Wed, 02 Sep 2009 20:54:56 +0000

Я считаю, что правильный – второй вариант: отклонить запрос.
Без уведомления пользователя, вообще некорректно искажать(вырезать, преобразовывать) его данные. Целью моего комментария было предложение способа обнаружения неразрешенных тэгов более простого чем HTML Purifier и, соответсвенно, менее ресурсоемкого. Хотя ресурсоемкость в этом деле несущественна, поскольку, даже на раскрученых форумах, добавление комменариев – не массовая операция.

By: Владимир

Владимир — Wed, 02 Sep 2009 19:03:40 +0000

Я имел ввиду свою статью.

не о вырезании или замене тэгов, а именно проверке наличия недопустимых тэгов и атрибутов

Хорошо, нашли мы недопустимые теги. Что дальше?
На мой взгляд вариантов два, либо вырезать, либо вообще отклонить запрос.
По-моему вторая часть моей статьи "Cross Site Scripting (XSS)" как раз на эту тему.

By: vvpol

vvpol — Wed, 02 Sep 2009 05:11:50 +0000

Не совсем понял о какой статье идет речь. Об обсуждаемой или о предложенной по ссылке. В них в обоих идет речь о проверке на сервере. Глупо утверждать, что сколько-нибудь надежную проверку можно сделать на клиенте. В статье по ссылке идет речь о проверке именно корректности html кода, а не строковых даныых. Еще раз подчеркну: не о вырезании или замене тэгов, а именно проверке наличия недопустимых тэгов и атрибутов

By: Владимир

Владимир — Tue, 01 Sep 2009 18:50:57 +0000

Так в статье же речь идет только о проверках на стороне сервера.