Насколько безопасно функция htmlspecialchars() ??

Discussion in 'Песочница' started by brasco2k, 16 Mar 2008.

  1. brasco2k

    brasco2k Elder - Старейшина

    Joined:
    23 Nov 2007
    Messages:
    258
    Likes Received:
    91
    Reputations:
    0
    Собсно сабж ^^^
     
    #1 brasco2k, 16 Mar 2008
  2. EST a1ien

    EST a1ien Elder - Старейшина

    Joined:
    2 Apr 2006
    Messages:
    249
    Likes Received:
    48
    Reputations:
    16
    Ну от Xss по мйму полностью защищает.
     
    #2 EST a1ien, 16 Mar 2008
  3. echobyte

    echobyte Elder - Старейшина

    Joined:
    7 Mar 2008
    Messages:
    463
    Likes Received:
    190
    Reputations:
    50
    с какой стороны собсно опасность?
     
    #3 echobyte, 16 Mar 2008
  4. noisia

    noisia Elder - Старейшина

    Joined:
    13 Mar 2007
    Messages:
    20
    Likes Received:
    10
    Reputations:
    0
    да она абсолютно безопасна, если считаете что я не прав, докажите обратное :/
     
    #4 noisia, 17 Mar 2008
  5. brasco2k

    brasco2k Elder - Старейшина

    Joined:
    23 Nov 2007
    Messages:
    258
    Likes Received:
    91
    Reputations:
    0
    Я имел ввиду защиту от xss.... Можно ли эту функцию обойти во время атаки...
     
    #5 brasco2k, 17 Mar 2008
  6. noisia

    noisia Elder - Старейшина

    Joined:
    13 Mar 2007
    Messages:
    20
    Likes Received:
    10
    Reputations:
    0
    если правильно все написано, не обойдешь.
     
    #6 noisia, 17 Mar 2008
  7. unixfan

    unixfan Elder - Старейшина

    Joined:
    15 Jan 2008
    Messages:
    30
    Likes Received:
    4
    Reputations:
    5
    имха - если что-то типа:
    $var = htmlspecialchars( $var );
    то ХСС здесь (переменной $var) не светит.
     
    #7 unixfan, 18 Mar 2008
  8. bons

    bons Elder - Старейшина

    Joined:
    20 Dec 2007
    Messages:
    286
    Likes Received:
    121
    Reputations:
    21
    если в запрос типа такого "... where id = $id ..." то от инъекции не защитит
    в цифровых параметрах лучше использовать приведение к типу или is_numeric()
     
    #8 bons, 7 Dec 2008
  9. iddqd

    iddqd Banned

    Joined:
    19 Dec 2007
    Messages:
    637
    Likes Received:
    519
    Reputations:
    19
    Нет, для sql используют mysql_real_escape_string
     
    #9 iddqd, 7 Dec 2008
  10. hOd

    hOd New Member

    Joined:
    16 Mar 2008
    Messages:
    6
    Likes Received:
    4
    Reputations:
    0
    $var = htmlspecialchars($var, ENT_QUOTES, 'UTF-8');

    и тебе не страшны никакие xss-ки. ее можно обойти, если поиграться кодировками, если же прописана определенная кодировка, то все будет норм
     
    #10 hOd, 9 Dec 2008
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.