Ankündigung

Einklappen
Keine Ankündigung bisher.

XSS verhindern

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • XSS verhindern

    Hi,

    ich habe ein problem mit XSS bzw. javascript code, welche an url rangehängt wird und beim Enter ausgeführt wird.

    Kann man das eigentlich mit PHP verhindern? Ich habe die Funktionen htmlentities() und htmlspecialchars() benutzt aber die bringen mich nicht weiter.

    Worum es geht:
    Ich habe eine URL wie folgt:

    www.irgend_eine_url.de/?id=123

    nun hänge ich an der id schädlichen JavaScript Code ran:
    www.irgend_eine_url.de/?id=123"<script>alert(document.domain)</script>

    was leider ausgeführt wird.

    Wie kann ich das verhindern, dass der alert ausgeführt wird?

    Gruß
    Danke

  • #2
    Der COde wird nicht einfach ausgeführt, nur weil er in der URL steht.
    Wenn du htmlentities() richtig benutzt dann wird der Code nicht ausgeführt.
    Signatur:
    PHP-Code:
    $s '0048656c6c6f20576f726c64';
    while(
    $i=substr($s=substr($s,2),0,2))echo"&#x00$i;"

    Kommentar


    • #3
      Wie ByStones richtig erwähnt, kommt es ganz darauf an, wie du $_GET['id'] in deinem Skript verarbeitest.

      Kommentar


      • #4
        Du musst deine GET Parameter nur richtig absichern und schon ist das nicht mehr möglich.

        Bei IDs die ja eigentlich immer integer Werte zurückliefern sollten kannst intval( deineId ) oder (int)deineId nutzen, dass stellt sicher das da nur Integer Werte ankommen und dann ist was du als Beispiel da gepostet hast bei der Id in der URL nicht mehr möglich.

        Alle Parameter die als String übergeben werden musst du da wo sie dann bevor du die das erste mal aktiv im weiteren Code benutzt mit htmlentities oder htmlspecialchars absichern, kommt immer auf den Fall an was du da einsetzen willst.

        Gruß Litter
        Aus dem Dynamo Lande kommen wir. Trinken immer reichlich kühles Bier. Und dann sind wir alle voll, die Stimmung ist so toll. Aus dem Dynamo Lande kommen wir.
        [URL]http://www.lit-web.de[/URL]

        Kommentar

        Lädt...
        X