Такая защита от XSS сработает?

Question

Юрий Денисов @denissov

PHP
XSS

Такая защита от XSS сработает?

Добрый день! Наткнулся на статью, где автор приводит такую функцию

function defender_xss($arr){
   $filter = array("<", ">","="," (",")",";","/");
     foreach($arr as $num=>$xss){
        $arr[$num]=str_replace ($filter, "|", $xss);
     }
       return $arr;
} 
//используйте  функцию перед обработкой входящих данных:
$_REQUEST=defender_xss($_REQUEST);

так же пишет что кусок

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

вставленный в htaccess тоже даст плюс.

Вопрос вот в чём. Будет ли нормально работать такая защита? Если да, то обязательно ли использовать htaccess, или достаточно будет пропускать данные через функцию на php и всё? Какие косяки могут вылезти при использовании данной функции?

Вопрос задан более трёх лет назад
2981 просмотр

1 комментарий

Подписаться 4 Оценить 1 комментарий

Пригласить эксперта

Ответы на вопрос 4

Комментировать

6 комментариев

Дмитрий С @Hakkunamatata

@denissov @OnYourLips Не знаю, что вы подразумеваете под "проверять", но экранировать строки и прогонять числа через intval перед записью в БД вроде бы не сложно

Написано более трёх лет назад
Юрий Денисов @denissov Автор вопроса

@OnYourLips это статья больше про PDO вроде? Если бы я использовал PDO я бы просто готовил запрос до самого запроса. Плюс для использования класса который в конце статьи надо переписать половину сайта.

Написано более трёх лет назад
Дмитрий С @Hakkunamatata

@OnYourLips чудесно, но вы бы прежде чем говорить, что что-то "очень глупо" хоть разобрались бы, как реализовано экранирование данных в том же PDO, которое расхваливает автор статьи. А то получается "слышу звон, да не знаю где он".

Написано более трёх лет назад
Юрий Денисов @denissov Автор вопроса

@Hakkunamatata т.е. получается в полях где ожидаются только числа используем intval, а там где строки можно проверять по паттерну, если не ок то посылаем, если ок то пишем в базу предварительно на всякий случай юзая mysql_real_escape_string?

Написано более трёх лет назад
Дмитрий С @Hakkunamatata

@OnYourLips Вы говорите штампами а суть моего поста ведь не об этом. Что действительно важно, так это с умом подходить к тому, что собираетесь сделать. Форматировать данные нужно перед записью , а уж как вы это делаете - Ваш личный выбор. Справедливости ради скажу, что и сам предпочитаю предопределённые запросы. Но не всегда им есть место.

Написано более трёх лет назад
Юрий Денисов @denissov Автор вопроса

@OnYourLips т.е. я могу скачать этот класс, заинклудить его, с его помощью работать с базой и забить на sql инъекции.
Если мне надо выбрать какую-то строку то я пишу так
SELECT * FROM category WHERE id=?i', $id_for_query
Здесь получается вместо ?i будет подставлено значение $id_for_query правильно?
А для нескольких параметров делать так?
SELECT * FROM category WHERE id=?i' AND name=?s, $id_for_query, $name_for_query
Недопонял как делать update.

Написано более трёх лет назад

6 комментариев

Юрий Денисов @denissov Автор вопроса

белые списки у меня не проканают немного, данные вводятся фио и т.д. и т.п. Вот и думаю что получается только проверка на валидность данных а перед записью экранировать.

Написано более трёх лет назад
Dmitry Demin @keksmen

@OnYourLips чем-то вы мне свидетелей иеговы напоминаете:)

Написано более трёх лет назад
Dmitry Demin @keksmen

@OnYourLips тут я спорить не буду, однако не слишком ли вы назойливо это озвучиваете?)

Написано более трёх лет назад
Виталий Желтяков @VitaZheltyakov

@OnYourLips C Вами не соглашаются, потому что ваш подход годен для мелких обособленных задач. Прибавьте к этому, что он не охватывает всех проблем взлома через инъекции.

Написано более трёх лет назад
Виталий Желтяков @VitaZheltyakov

@OnYourLips Я её читал, даже где-то писал критику про неё. Вы не до конца понимаете механизм плейсхолдеров, поэтому всецело ему доверяете. Но белые списки и плейсхолдеры не перекрывают всех возможностей взлома через инъекции.

Написано более трёх лет назад
Виталий Желтяков @VitaZheltyakov

@OnYourLips Я же написал в самом начале - через метасимволы и сущности.

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+1 ещё

Простой
Почему клиент телеграма отсылает битый запрос?
- 1 подписчик
- вчера
- 103 просмотра
0

ответов
PHP

+2 ещё

Простой
Как в Drupal 10 массово проставить noindex для >1000 страниц?
- 1 подписчик
- вчера
- 42 просмотра
1

ответ
PHP

+1 ещё

Простой
Парсинг XML yandex?
- 1 подписчик
- 18 апр.
- 96 просмотров
0

ответов
PHP

Простой
Заполнить не существующими датами из бд в графике apexcharts?
- 1 подписчик
- 18 апр.
- 58 просмотров
2

ответа
PHP

+1 ещё

Средний
Почему одинаково-написанный curl запрос отдает разные ответы?
- 1 подписчик
- 17 апр.
- 136 просмотров
0

ответов
PHP

Простой
Вывожу куки в корзине, куда записал товар, не выводит, в чем ошибка?
- 1 подписчик
- 17 апр.
- 84 просмотра
0

ответов
PHP

Простой
Функция str_replace() не работает?
- 1 подписчик
- 17 апр.
- 189 просмотров
3

ответа
PHP

+1 ещё

Простой
Как получить данные title на TradingView?
- 1 подписчик
- 17 апр.
- 31 просмотр
1

ответ
PHP

+2 ещё

Сложный
Интеграция Telegram с CRM системой. Что посоветуете?
- 1 подписчик
- 17 апр.
- 150 просмотров
1

ответ
JavaScript

+3 ещё

Простой
Как принять данные от JQuery.ajax на сервере php?
- 1 подписчик
- 16 апр.
- 96 просмотров
1

ответ
Показать ещё Загружается…

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

PHP Developer

YCLIENTS • Москва

от 200 000 до 350 000 ₽

PHP-разработчик

FunPay

от 300 000 до 500 000 ₽

Настроить рекламу в VK

20 апр. 2024, в 13:56

7000 руб./за проект

Настроить рекламу в Авито

20 апр. 2024, в 13:52

7000 руб./за проект

Помочь с запуском бота

20 апр. 2024, в 13:23

1000 руб./за проект

и не лучше ли тупо обрезать тогда ненужные символы чем менять их на | ?

Answer 1 · 2014-04-22 07:35:56

array("<", ">","="," (",")",";","/") - ну а если у Вас действительно на входе текст с кавычками и скобками?

Да и саму фильтрацию лучше делать перед выводом на страницу, дабы в БД хранились актуальные данные.

Answer 2 · 2014-04-22 07:48:37

www.php.net/manual/ru/function.htmlspecialchars.php

// upd

Защита от XSS происходит исключительно в момент рендеринга данных.

Answer 3 · 2014-04-22 08:00:24

@Hakkunamatata @Miraage т.е. получается в базу всё можно писать спокойно, проверять только на SQL инъекции, а уже при выводе во избежании недоразумений ставить htmlspecialchars? и это спасёт от XSS?

Answer 4 · 2014-04-22 09:22:16

Подход совершенно правильный. Причина XSS и SQL Inj - отсутствие фильтрации пользовательских данных.

Приведённый пример фильтрации поможет только от элементарных атак, т.к. можно передавать данные используя спецсимволы и сущности.

Я лично предпочитаю строить защиту на основе "белых списков" и экранирования

Такая защита от XSS сработает?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт