Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

Algemeen

FAQ

Links

Leden

Registreren

Links

Sociale media

Follow @sitemasters

Sitemasters

RSS

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Forum

Categorieën > PHP

Anti-xss ok?

Romic - 14/01/2009 20:17 (laatste wijziging 14/01/2009 20:21)
Nieuw lid		Op mijn website in aanbouw heb ik in php deze functie gemaakt: php code - Bekijk de code zonder highlighting - Klap code in function secure($data,$limit=50){ $data=str_replace("javascript:","",$data); $data=substr($data,0,$limit); return htmlentities($data,ENT_QUOTES,"UTF-8"); } function secure($data,$limit=50){ $data=str_replace("javascript:","",$data); $data=substr($data,0,$limit); return htmlentities($data,ENT_QUOTES,"UTF-8"); } Alle userinput (forms, cookies, $_SERVER variabelen) wordt hiermee gecontroleerd. Is dit een goede beveiliging?

6 antwoorden

Gesponsorde links

Wim - 14/01/2009 21:01
Crew algemeen		Volgens jij kan je beter een validatie PER veld doen.. Verder begrijp ik je gebruik van substr niet goed, is PHP.net: strlen niet interessanter in dit geval? Anders worden er nog steeds 50 tekens doorgelaten...

Romic - 15/01/2009 07:45 (laatste wijziging 15/01/2009 07:47)
Nieuw lid		php code - Bekijk de code zonder highlighting - Klap code in $data=substr($data,0,$limit); $data=substr($data,0,$limit); Zorgt er voor dat er maximum $limit (standaard 50) tekens overgehouden wordt. Strlen geeft gewoon de lengte van de string, en die moet ik niet hebben En bij veld per veld, vergeet je al snel iets (de limit voor een gebruikersnaam,...)+dit is korter om te gebruiken. Gewoon $username=secure($username);

Threetimes - 15/01/2009 07:46
PHP beginner		php code - Bekijk de code zonder highlighting - Klap code in if (strlen($data)>50) { // geef foutmelding } if (strlen($data)>50) { // geef foutmelding } Lijkt me een nettere oplossing

Wim - 15/01/2009 12:21 (laatste wijziging 15/01/2009 12:23)
Crew algemeen		Romic schreef: [..code..] Zorgt er voor dat er maximum $limit (standaard 50) tekens overgehouden wordt. Strlen geeft gewoon de lengte van de string, en die moet ik niet hebben Als het groter is dan 50 tekens, en volgens jou dus een illegale string kan je beter ALLES blokkeren dan slechts een deel. Zo kan je ook een mooie foutmelding aan je gebruiker geven ipv enkel de 50 eerste tekens te gebruiken Romic schreef: En bij veld per veld, vergeet je al snel iets (de limit voor een gebruikersnaam,...)+dit is korter om te gebruiken. Gewoon $username=secure($username); Maar wel minder veilig.... Je vraagt tips, krijgt deze, en dan ga je de "gemakkelijkheid" als troef spelen...? Trouwens, als je het op alle POST data etc gaat toepassen, is PHP.net: array_map makkelijker!

Romic - 15/01/2009 16:45
Nieuw lid		Het is niet de bedoeling om alles te blokkeren wat groter is dan 50 tekens. Dit wordt normaal al verhinderd door het html form, maar om dat serverside te verzekeren heb ik dat erbij gedaan. Die array map ziet er een handige functie uit, had ik nog niet van gehoord.

Koen - 15/01/2009 16:53
PHP expert		http://doxygen....ource.html Met deze functie kan je met een gerust hart stellen dat XSS bijna onmogelijk geworden is

Gesponsorde links

Dit onderwerp is gesloten.

Actiefste leden van de maand

Actieve forumberichten