Sorular
Etiketler
Komut karşı korumak için bir `
` kullanma</h2> <div class="question-meta"> <span class="q-view-a-count">4 Cevap</span> <a class="cat-in icon-folder-close" href="https://www.takildimkaldim.com/etiket/php">php</a> </div> <div class="row"> <div class="col-md-8 question-c-l"> <div class="qa-part-q-view"> <div class="qa-q-view hentry question" id="q89"> <div class="q-view-body"> <div class="no-overflow"> <div class="qa-q-view-main"> <div class="q-cont-right"> <div class="qa-q-view-wrap"> <div class="qa-q-view-inner"> <div class="clearfix"> <div class="qa-q-view-content" itemprop="description"> <a name="9065"></a><div class="entry-content"><p>Hmm. Bunun yerine girdi "defanging" veya etiketlerini çıkarmak için regex çeşit kullanarak, bu içine kullanıcı malzeme dökümü için nasıl güvenli bir <code><textarea></code>?</p> <p>Örneğin, aşağıdakileri yapar bir PHP sayfası var diyorlar:</p> <pre><code>echo '<textarea>'; echo $_GET['whuh_you_say'] ; echo '</textarea>'; </code></pre> <p>Normalde bu XSS saldırılarına karşı savunmasız olduğunu, ancak yılında <code>textarea</code>, bütün komut etiketler sadece <code><script></code> olarak gösterilir ve onlar idam olmayacak.</p> <p>Bu güvensiz mi?</p></div> </div> </div> </div> </div> </div> </div> </div> </div> </div> </div> <div class="qa-part-a-list"> <h3 class="answers-label icon-answer">4 Cevap</h3> <div class="qa-a-list" id="a_list"> <div class="qa-a-list-item hentry answer" id="a36876"> <div class="big-s-avatar avatar"><img src="https://www.takildimkaldim.com/images/user.png"></a> </div> <div class="q-cont-right"> <div class="qa-a-item-main"> <div class="a-item-inner-wrap"> <div class="a-item-wrap"> <div class="qa-a-item-content"> <a name="99"></a><div class="entry-content"><p><code>strip_tags(string);</code></p> <p>Harika! Dürüst!</p></div> </div> <div class="post-button clearfix"> <button name="a36876_doflag" class="btn icon-flag" title="Bu cevapta sorun bildir.">sorun bildir</button> </div> </div> <div class="qa-a-item-c-list" style="display:none;" id="c99_list"> <div class="comment-count icon-comments">0</div> <div class="comment-items"> </div> </div> <!-- END qa-c-list --> <input type="hidden" name="code" value="0-1398277270-d224c57487fbee7a0814573df17169e8520938d4"> <input type="hidden" name="qa_click" value=""> </div> </div> </div> <!-- END qa-a-item-main --> </div> <!-- END qa-a-list-item --> <div class="qa-a-list-item hentry answer" id="a36877"> <div class="big-s-avatar avatar"><img src="https://www.takildimkaldim.com/images/user.png"></a> </div> <div class="q-cont-right"> <div class="qa-a-item-main"> <div class="a-item-inner-wrap"> <div class="a-item-wrap"> <div class="qa-a-item-content"> <a name="99"></a><div class="entry-content"><p>Kullanıcıların (bu metinalanı çözüm öneren eğer, bu durumda olan) herhangi bir HTML etiketleri kullanarak gerekiyordu değilseniz, sadece <code>htmlspecialchars()</code> bunu aracılığıyla çalıştırmak veya <code>htmlentities()</code> ve onunla yapılabilir. Güvenlik garantisi.</p></div> </div> <div class="post-button clearfix"> <button name="a36877_doflag" class="btn icon-flag" title="Bu cevapta sorun bildir.">sorun bildir</button> </div> </div> <div class="qa-a-item-c-list" style="display:none;" id="c99_list"> <div class="comment-count icon-comments">0</div> <div class="comment-items"> </div> </div> <!-- END qa-c-list --> <input type="hidden" name="code" value="0-1398277270-d224c57487fbee7a0814573df17169e8520938d4"> <input type="hidden" name="qa_click" value=""> </div> </div> </div> <!-- END qa-a-item-main --> </div> <!-- END qa-a-list-item --> <div class="qa-a-list-item hentry answer" id="a36878"> <div class="big-s-avatar avatar"><img src="https://www.takildimkaldim.com/images/user.png"></a> </div> <div class="q-cont-right"> <div class="qa-a-item-main"> <div class="a-item-inner-wrap"> <div class="a-item-wrap"> <div class="qa-a-item-content"> <a name="99"></a><div class="entry-content"><p>Bu (Ben sonrası biraz eski olduğunu düşünüyorum - yani muhtemelen artık bunu garantiledi google) google belgelerinde metinalanı en bulunan bir XSS delik bahsediyor, ama bu textareas bir saldırı vektörü olarak nasıl kullanılabileceğini deomstrates.</p> <p><a href="http://ha.ckers.org/blog/20070617/another-google-xss-in-google-documents/" rel="nofollow">ha.ckers.org discussing google docs textarea exploit</a></p></div> </div> <div class="post-button clearfix"> <button name="a36878_doflag" class="btn icon-flag" title="Bu cevapta sorun bildir.">sorun bildir</button> </div> </div> <div class="qa-a-item-c-list" style="display:none;" id="c99_list"> <div class="comment-count icon-comments">0</div> <div class="comment-items"> </div> </div> <!-- END qa-c-list --> <input type="hidden" name="code" value="0-1398277270-d224c57487fbee7a0814573df17169e8520938d4"> <input type="hidden" name="qa_click" value=""> </div> </div> </div> <!-- END qa-a-item-main --> </div> <!-- END qa-a-list-item --> <div class="qa-a-list-item hentry answer" id="a36879"> <div class="big-s-avatar avatar"><img src="https://www.takildimkaldim.com/images/user.png"></a> </div> <div class="q-cont-right"> <div class="qa-a-item-main"> <div class="a-item-inner-wrap"> <div class="a-item-wrap"> <div class="qa-a-item-content"> <a name="99"></a><div class="entry-content"><p>Temelleri için yeterince iyi:</p> <pre><code>sanitized = str_replace("<", "<", $_GET['whuh_you_say']); sanitized = str_replace(">", ">", sanitized); </code></pre></div> </div> <div class="post-button clearfix"> <button name="a36879_doflag" class="btn icon-flag" title="Bu cevapta sorun bildir.">sorun bildir</button> </div> </div> <div class="qa-a-item-c-list" style="display:none;" id="c99_list"> <div class="comment-count icon-comments">0</div> <div class="comment-items"> </div> </div> <!-- END qa-c-list --> <input type="hidden" name="code" value="0-1398277270-d224c57487fbee7a0814573df17169e8520938d4"> <input type="hidden" name="qa_click" value=""> </div> </div> </div> <!-- END qa-a-item-main --> </div> <!-- END qa-a-list-item --> </div> <!-- END qa-a-list --> </div> </div> <div class="col-md-4 question-sidebar"> <div class="qa-post-meta"> <div class="question-tags"> <h3 class="tags-label">etiketler</h3> <ul class="tags-tag-list"> <li class="tags-tag-item"><a href="https://www.takildimkaldim.com/etiket/php" class="qa-tag-link">php</a></li> <li class="tags-tag-item"><a href="https://www.takildimkaldim.com/etiket/security" class="qa-tag-link">security</a></li> <li class="tags-tag-item"><a href="https://www.takildimkaldim.com/etiket/textarea" class="qa-tag-link">textarea</a></li> </ul> </div> </div> </div> </div> </div> </div> <footer id="site-footer" class="clearfix"> <div class="qa-nav-main"> <ul class="qa-nav-main-list"> <li class="qa-nav-main-item qa-nav-main-questions"> <a href="https://www.takildimkaldim.com/sorular/" class="icon-question-sign qa-nav-main-link">Sorular</a> </li> <li class="qa-nav-main-item qa-nav-main-tag"> <a href="https://www.takildimkaldim.com/etiket/" class="icon-tags2 qa-nav-main-link">Etiketler</a> </li> </ul> <div class="qa-nav-main-clear"> </div> </div> <ul class="ra-social-links"> <li><a class="t-bg-4 icon-facebook" href="#" title="Link to Facebook"></a></li> <li><a class="t-bg-4 icon-twitter" href="#" title="Link to Twitter"></a></li> </ul> <div class="qa-attribution-right"> Copyright © 2014 <p class="developer">Powered by <a href="http://evrenweb.net/">EvrenWeb</a> Int. Media.</p> </div> </footer> </div> </body> </html> <!-- HTML5 shim and Respond.js IE8 support of HTML5 elements and media queries --> <!--[if lte IE 9]> <link rel="stylesheet" type="text/css" href="https://www.takildimkaldim.com/css/ie.css"> <script src="https://www.takildimkaldim.com/js/html5shiv.js"></script> <script src="https://www.takildimkaldim.com/js/respond.min.js"></script> <![endif]--> <link rel="stylesheet" type="text/css" href="https://www.takildimkaldim.com/css/tk.min.css"> <script src="https://www.takildimkaldim.com/js/jquery-1.7.2.min.js" type="text/javascript"></script> <script src="https://www.takildimkaldim.com/js/qa-page.js" type="text/javascript"></script> <script type="text/javascript" src="https://www.takildimkaldim.com/js/bootstrap.js"></script> <script type="text/javascript" src="https://www.takildimkaldim.com/js/jquery.sparkline.min.js"></script> <script type="text/javascript" src="https://www.takildimkaldim.com/js/jquery-ui.min.js"></script> <script type="text/javascript" src="https://www.takildimkaldim.com/js/theme.js"></script> <script> (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){ (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o), m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) })(window,document,'script','//www.google-analytics.com/analytics.js','ga'); ga('create', 'UA-50641020-1', 'takildimkaldim.com'); ga('send', 'pageview'); </script>
