Beste leden ,
Ik ben me aan het verdiepen in xss injecties op het gebied van BEVEILIGING ertegen niet om te hacken . En heb de volgende code gevonden op het net :
Graag had ik van jullie vernomen wat dit scriptje exact doet ? Is het een goede beveiliging of kan het beter ?<?php
function beveilig($sInput) {
$sOutput = '';
if(!get_magic_quotes_gpc() == 0) {
$sOutput = $sInput;
} else {
if(function_exists('mysql_real_escape_string')) {
$sOutput = mysql_real_escape_string($sInput);
} else {
$sOutput = addslashes($sInput);
}
}
$sOutput = htmlentities($sOutput, ENT_QUOTES);
return $sOutput
echo beveilig('<script>alert(\'hoi\');</script>&');
?>
Met Vriendelijke Groeten
- XSS Injection
-
15-03-2011, 18:37 #1
- Berichten
- 459
- Lid sinds
- 15 Jaar
XSS Injection
-
-
15-03-2011, 18:50 #2gast39247 Guest
Re: XSS Injection
-
15-03-2011, 18:52 #3
- Berichten
- 1.899
- Lid sinds
- 18 Jaar
Re: XSS Injection
Enige wat ik me afvraag is; voor mysql_real_escape_string heb je een actieve DB connectie voor nodig, is de return van function_exists() dan false indien er geen geldige connectie is (de code doet dit natuurlijk wel al een beetje vermoeden).
-
16-03-2011, 05:46 #4
- Berichten
- 750
- Lid sinds
- 15 Jaar
Re: XSS Injection
Wat waardeloze functie om eerlijk te zeggen.
Sql injection en xss beveiliging moet je apart van elkaar zien. Tevens dien in je het htmlenties als 3de parameter een charset zoals UTF8 mee te geven zodat ze niet met andere charsets kunnen injecteren.
Plaats een
- + Advertentie
- + Onderwerp
Marktplaats
Webmasterforum
- Websites algemeen
- Sitechecks
- Marketing
- Domeinen algemeen
- Waardebepaling
- CMS
- Wordpress
- Joomla
- Magento
- Google algemeen
- SEO
- Analytics
- Adsense
- Adwords
- HTML / XHTML
- CSS
- Programmeren
- PHP
- Javascript
- JQuery
- MySQL
- Ondernemen algemeen
- Belastingen
- Juridisch
- Grafisch ontwerp
- Hosting Algemeen
- Hardware Info
- Offtopic