Donnerstag, 4. September 2008

PHP

Schutz gegen Cross Site Scripting (XSS)

Wer als PHP-Programmierer seine Applikationen gegen XSS (Cross Site Scripting) schützen will, sollte die PHP-Funktionen htmlentities benutzen.

Download Code!

  1.  
  2. $goodVar = htmlentities($evilVar, ENT_QUOTES);
  3.  

Wer ganz sicher gehen will, kann noch vorher ein strip_tags ausführen:

Download Code!

  1.  
  2. $goodVar = htmlentities(strip_tags($evilVar), ENT_QUOTES);
  3.  

Somit werden alle gefährlichen Sonderzeichen entwertet und die Applikation sollte einen sicheren Schutz gegen XSS haben. Zu beachten gilt folgendes:
a) Ich kann keine absolute Garantie geben, dass es nicht vielleicht doch möglich ist, irgendwie Code einzubetten.
b) Vielleicht ist es unter Umständen möglich, dass manche Browser, oder Bugs selbigen doch noch irgendwie Code ausführen - mir ist aber bis jetzt noch kein solcher Fall bekannt.

Bewertung: keine, 0 Stimme(n) 711 Klicks
Von Mr.Foo in PHP am 04.09.08@12:47 Uhr

Trackbacks
Trackback für spezifische URI dieses Eintrags

Keine Trackbacks

0 Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

Noch keine Kommentare


Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Sie können [geshi lang=LANG][/lang] Tags verwenden um Quellcode abhängig von der gewählten Programmiersprache einzubinden