15 NİSAN 2015, ÇARŞAMBA

Xss Saldırıları Önlemek İçin Php Çıktıda Düzgün Kaçan

Bu nedenle bu video olacak PHP içinde başına dışarı kaçan hakkında konuşmak önemli neden biz olacak birkaç küçük şeyler bakmak olduğunu Eğer dikkat etmelidir ve sonra PHP işlevi bakmak edeceğiz Bize bunu yapmak için izin verir Alt biz burada şu anda gördüğünüz bu örneğe arayacağız sadece kutsal için dokuzuncu merhaba koyarak dışarı sen ve biz umut eğer var sayfa Sana bu koyarak biz üstünde bir değişken var görebiliyorum out Biz konuşmak butik yapacağız ilk şey onlar çok biz aslında kaçmak gerektiğini olmak Verileri kaçmak ne zaman ve şimdi herhangi bir dış kaynaktan gelen şey cevaplar olduğunu Bu dur

umda biz mutlaka bu kaçış gerek olmaz Bu veriler zor onun sadece bir dizesinde kodlanmış olduğunu biliyoruz Bu yüzden değiştirmeniz gerekir bu sadece dışarı sayfaya içinde Ben sadece bu yüzden sana gerekir bu durumda sa

nırım ismi atıyorum Ancak potansiyel sayfaya dışında herhangi bir gün gelirse Başka bir kaynak, örneğin kendi veritabanı için çok API yerde bir şey dosya uygulama içine usery en geçme ihtiyaçlarına g

“Çıkıyor güvenilir bir kaynaktan gelen verileri çıkış uygulamanızda güvenlik baktığımızda hemen hemen her yerde. Sizi htmlspecialchars fonksiyonu ile çıktı kaçış v...”
Codecourse

öre dışarı olmak bir sayfaya eğer size partiyi kaçtı edilecek olan böylece örneğin URL şey olabilir Çok part adını söyleyin ve bu çıktıyı iseniz tarihlenen veriyor en azından sayfa ancak hakkında konuşuyor olamazdık size dışarı bu kaçan alması gerekir sanitasyon veri veritabanı veya şimdi millet ile başka bir kaynaktan içine Daha önce size alıyorsanız saklanan herhangi bir de ti geride bıraktı üzerinde Başka kaynak yüzden bu bir sorun olabilir nasıl bir göz atalım

Xss Saldırıları Önlemek İçin Php Çıktıda Düzgün Kaçan Resim 1 Xss Saldırıları Önlemek İçin Php Çıktıda Düzgün Kaçan Resim 2 Xss Saldırıları Önlemek İçin Php Çıktıda Düzgün Kaçan Resim 3 Xss Saldırıları Önlemek İçin Php Çıktıda Düzgün Kaçan Resim 4

Şu anda bu örnek en kullanıcıyı diyelim için gayet Bazı komut balta ile bir şey kaybetmiş ya da bir şey yeni bir veritabanı gönderin şimdi sadece uyarı şey dışarı javascript fonksiyonu bu gibi görünüyor Bu durumda sadece bir iletişim kutusu başına dışarı olacak bu yüzden taze beri biz başına dışarı almak bu olduğunu görebilirsiniz Eğer bu hiç bir sorun hiçbir şey istemiyorum Bu serin çapraz site betik olduğunu ve ne anlama yer almaktadır kullanıcı olabilir javascript var böyle bir şekilde bir şeyler inşa etti koşmak ve bu

sizin kullanıcıların yönlendirilebilir tutmak her şey bana ne demektir Başka bir sayfaya Onlar çerez çalıntı olabileceğini ve onlar ortaya çıkabilecek çeşitli sorunlar var, bir kullanıcı oturum kurabileceklerini komut baltacı askerler grubu donatım de kullanarak bu yüzden emin olmanız gerekir şimdi biz bu aslında neden anlamak gerekir bunu dikkate olay ve bunun nedeni HTML müstehcen oluşur Bu karakter her örnek I böylece az birkaç diğer haricinde Accenture'a imzalamak daha büyük bir oturum daha dikkate almak gerekir şeyler ve aynı zamanda PHP kılavuzunu bakıyor olacak işlev biz olduğumuzu görmek için kaçış yok aslında kullanarak olacak bu yüzden eklenti pazarı için önümüzdeki sanayi giderseniz hakkında konuşma Biz burada görebilirsiniz, sadece birkaç sayfa kaynağında sayfayı yenileyin normal olarak sadece komut dosyaları, vergi çıkışını alıyoruz ve bu tarayıcı bunları yorumlama oluyor ve sahip gidiyor demektir içinde eksi işler Bu etmektir adına bir gol dışında yapmanız gereken Bu şehirler daha büyük ve bilim daha az dönüştürmek HTML öğeleri ve anlamı biz r ne zaman olduğunu sayfadaki yerleştirerek, HTML render damıtılmış olarak cazip değil mi Bu karakter olarak hala komut / script script görebilmeniz sanat onlar Imron aslında kullanılmayan değil tarafın bu yüzden bunu nasıl bir göz atalım ve dikkate almak ilk şey sayfanızda karoten kodlama bu olmalı Biz kullanıyor olmalıdır yüzden tüm koşullarda sanırım içinde utf8 Qt FAA bir karakterdir kodlama Şimdi bunu utf8 olmalıdır bu yüzden çok emin değilseniz Tüm her yerde gerçekten büyük döngüsü utf8 Ben son derece go ahead tavsiye ve sadece bu ve içinden okurdum o etrafında arayacaktır sahip, sadece öğrenmek için utf8 kodlama ve daha X hakkında daha kesin bir ifadeyle Ben bunu kullanarak yer aldı ve biz bu kullanarak neden düşündüm size iyi bir temel vereceğim ve bu gerçekten htmlspecialchars'dan içine bağlar işlev ve özel karakterler dönüştürmek için PHP kullanarak olabilir böylece varlıkları onu almaya Şimdi htmlspecialchars kullanarak odaklanalım Bazı tür yardımcı fonksiyon bir uygulama içinde böylece biz onu kullanmak her yerde bilgi çıktısı olabilir Sadece şimdi sadece size iade için komut X bana dönelim Bu, orijinal fiyatının yüzden JavaScript uyarısı gelip alamadım ve en önde ve işlev bozukluklarının içeri gidelim Bir PHP dosyası o sadece bu kök dizininde etrafında yüzen bkz yerinde bu şekilde biz önde ve Aquinas gidebilir gerek Senato PHP fonksiyonları gerektiren ve şimdi biz tanımlamak herhangi işlevlerini kullanabilirsiniz burada tarafın bir işlevi çağrılır kaçış yapalım Şimdi disk sen sürece uygun olduğu gibi istediğiniz herhangi bir şey denilebilir Bir şey kaçmak gerekir her zaman kolay kullanımlı az ve o tek nedeni için gerçekten iyi bir isim sadece kolay, sadece biraz daha açık olacak bu durumda oldu Cali kaçış bu yüzden içinde o zaman geçmek mümkün olmak istiyorum bir dize ve biz bir şey iade edebilmek istiyorum Biz bu onun bir parçası olarak yapıyoruz bu yüzden şimdi Sadece dizge döner izin dönen ve biz bunu kullanabilirsiniz Biz konum şey sarmak için bu çıkışı bu yüzden bazı Nike kullanarak faydasını görebilirsiniz biraz daha kolay bu yüzden taze ve yormak olduğunuzda duymak asla böylece yapar sadece tazeleme yani henüz farklı paralı o sadece temelde koruyor çıktı farklı hayır var Aynı dize Onu şimdi yaş şimdi en odaklanalım karakterler için grafikler duruşun özel şarj fonksiyonu bu yüzden bu ne işlev yapacak onu görüşmek için gidiyor olduğunu biz zaten hakkında konuştu özel karakterler, örneğin söylüyor Tek ve çift tırnak imzalamak daha büyük daha az ve aynı zamanda ve imi ve onları dönüştürmek olacak tutulur Eğer varlıkları onu yaş ve görmek ve sadece burada öğretebilir Yine senin gibi işlenmiş yargıç aslında sayfaya görürdünüz dışarı ziyade tarayıcı yan yakalanmadan en go ahead ve biz 36 geçmiş ihtiyacımız argüman yukarı bakalım İlki aslında size istediğiniz olacak dönüştürür Bu durumda mücadele biz geçtiğini sadece ne istediğinizi metne Bu işleve İkinci seviye belirlemek için kullanılan bayrak olacak ve dönüşüm için Bu yan yaygın gibi bir şey ve kompakt tarafı yapacağını Bu çift tırnak çevrimiçi tek tırnak bırakın çevirecektir Bu standart Jim gördüm sadece bir Amaç ve tırnak çift bayt çevirecektir ve tek tırnak otomatik büyük daha az yapacağız bu aldırma ve işareti tarafı imzalamak Burada bu iki seçenek olan en popüler öylece ile ister koyunda endişe temelde çift ve tek de kullanabilirsiniz quites ve hiçbir tırnak mücadele Oldukça dönüşmemiş kadar durağı olan bırakacaktır Eğer çıkış olsaydı bu yararlıdır ve içerik içinde eğer niteliklerini ve temelde çıkış ile ilgili sorunlar var nitelikler dahilinde şey içinizde çift tırnak bulabilirsiniz Burada birkaç seçenek var bu kadar daha sonra sayfayı kaçırmak için gidiyor ve yapacağız kullanarak ve kompakt ya biz kadar gerçekten tırnak içinde kullanabilirsiniz olacaksın Eğer bunu demek sadece tür doğa çıktısı kullanarak iyi etrafında sınamak olduğunu bu yüzden go ahead ve oldukça sadece iki kullanmasına izin Üzgünüm, sadece ins ikinci seçeneği yapıştırın mücadele tek ve çift tırnak hem kulüpler Üçüncü seçenek vergilendirme kodlama olduğunu hangi biz bu dahil ederek sayfasından biliyoruz karakter kodlaması artık sayfalar utf8 burada net saldırı Bu yüzden sürece bu var gibi bazı önemli sayfanıza tanımlanmış ve sen ölmek istedim burada bulmak bu var Üç şimdi bu kaçış işlevini tamamladı en az bir göz atalım nasıl bundan ise en Ne biz temiz hava vardı bu yüzden vergi sormuştu önce gördüm yine biz hiçbir değişiklik sadece eklemek başına gelen gidiyor bakın Oldukça hey sadece bu yüzden ikiye çünkü görebilirsiniz ne olacağını görmek için çift oldukça orada Biz sayfa kaynağını görüntülemek zaman şimdi işareti bakın Oldukça ve sonra IE virgül böylece aslında Hala bir çift tırnak olarak sayfada gösteriliyor onun aslında bir HT şimdi varlık kadar alt şimdi biz savunmasız nerede olabilir en fazla uç bir örnek bakalım XSS saldırısı Burada hangi olabilir bir şey uyararak daha önce yaptığı gibi en aynı yapalım Açıkçası büyük bir sorun olabilir şimdi kullanarak fark sadece görebilirsiniz Biz BS gördük oluşturulan ettik paten fonksiyonudur ama bizim kullanıcılara hiçbir zararı olan San çünkü o Browns tarafından denendi değil ve o bu javascript çalışan değil yani yine sayfa kaynağı olmalı ve biz komut daha az alıyorum burada görebilirsiniz daha ve bir o büyük ve daha az sonra greats sonra tekrar rağmen bu yüzden bu komut dosyası ac görmeye biz yığınları şerit gerekmez meselesi savaş anlamına gelmez size istediğiniz eğer at için iyi bir nedeniniz varsa Eğer vergi atmak için IE PHP işlevini kullanmanız gerekmez Outback sazlık size sürece önemli değil Size bu karakterler özel karakterler dönüştürme kuruluşlar n hemen hemen isabet olduğunu ben sabun gitmek için tüm iyi Biz karakter sayfanıza kodlama gibi ele ettik bir kaç noktaları var Düzgün htmlspecialchars işlevi kullanmak için nasıl Yapabileceğimiz dönüştürme farklı düzeylerde kurumlara özel karakterler ve daha da önemlisi belirleyici karakter kodlaması yani her şeyin düzgün yapıldığını ve hiçbir şey herhangi bir yere kadar kayıyor Eğer çıkış sırasında öylesine hızlı bir güvenlik onların ipucu herhangi bir bir kaynaktan tarihli senin emin Önünüzde ve kullanım gidebilirsiniz hakkında Bu bugün Sadece XSS saldırılarına karşı önlemeye yardımcı olmak için.

Açıklama

Çıkıyor güvenilir bir kaynaktan gelen verileri çıkış uygulamanızda güvenlik baktığımızda hemen hemen her yerde. Sizi htmlspecialchars fonksiyonu ile çıktı kaçış ve bu işlevi kullanırken bazı önemli dikkate bakmak için kullanabileceğiniz küçük işlevi oluşturmak. Daha fazla öğreticiler için buraya Abone: http://www.youtube.com/subscription_center?add_user=phpacademy Kanalımız http://youtube.com/phpacademy Resmi internet sitesi http://phpacademy.org Destek Forumu http://phpacademy.org/forum Bizi Twitter'da takip edin! http://twitter.com/phpacademy

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

Codecourse

Codecourse

Ücretsiz kod öğrenmek yardımcı olmak. Nerede olduğunu merak olsaydı biz resmen phpacademy olarak biliniyordu. Sorular, yorum veya geribildirim? Biz sizden duymak istiyorum! Hello@codecourse.com için bize e-posta Bırak

YORUMLAR



9.7/10

  • 142
    Olumlu
  • 3
    Olumsuz
  • 41
    Yorum
  • 9291
    Gösterim

SPONSOR VİDEO

Rastgele Yazarlar

  • Dellbear816

    Dellbear816

    4 Mart 2008
  • POGProductionz

    POGProductio

    27 NİSAN 2012
  • TurkishRoyal

    TurkishRoyal

    16 Ocak 2007

ANKET



Bu sayfa işinize yaradı mı?