Új hozzászólás Aktív témák

• #109 martonx veterán Vision #108

  Új Válasz 2011-07-29 12:49:18 #109

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  martonx

  veterán

  válasz Vision #108 üzenetére

  sql injection ellen nem az update insert parancsokat kell tiltani, hanem a "--"-t és a ";"-t.
  A js alapú XSS támadásokhoz meg (már ha később böngészőben megjeleníted valahol a user által beírt szöveget) a "/>"-t kell tiltani a szövegből.

  Egy tipikus SQL injection így néz ki ; select * from users --
  A ; lezárja a spagetti kódot, a -- kommenteli az utána lévőket, és marad egy szépen végrehajtható sql-ed, amire jó eséllyel választ kapsz.

  Ha az SQL injection-t és az XSS-t kivédted, akkor már a vérpistikéket (és ez a többség) kivédted. Aki meg nagyon akarja, és elég profi az úgyis feltöri az oldalt.

Új hozzászólás Aktív témák