Forgot Password ??

PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone

	Registered : 109,037

HOME > PHP > PHP Forum > สอบถามเรื่อง Function str_replace การป้องกันการโจมตีเเบบ xss

สอบถามเรื่อง Function str_replace การป้องกันการโจมตีเเบบ xss

เริ่มหัวข้อใหม่

komkrich_t

โพสกระทู้ ( 6 )
บทความ ( 0 )

สอบถามเรื่อง Function str_replace ป้องกัน XSS
ขอ Code ตัวอย่าง
เเละคำคำอธิบายเเนะนำด้วยครับ

Tag : PHP

Date : 2011-09-01 23:10:18

By : komkrich_t

View : 1465

Reply : 4

No. 1

TC Admin

โพสกระทู้ ( 74,058 )
บทความ ( 838 )

mysql_real_escape_string() ใช้คตัวนี้รับค่า Input ก็น่าจะสามารถป้องกันได้ในระดับหนึ่งครับ

Date : 2011-09-02 09:32:47

By : webmaster

No. 2

komkrich_t

โพสกระทู้ ( 6 )
บทความ ( 0 )

รบกวนมีตัวอย่างไหมครับ

Date : 2011-09-03 04:14:21

By : komkrich_t

No. 3

mr.v

โพสกระทู้ ( 4,756 )
บทความ ( 8 )

mysql_real_escape_string อันนี้มันป้องกัน sql injection ครับ
ส่วน csrf กับ xss นั้นไม่เหมือนกัน และ sql injection ก็ไม่เหมือนกับพวกนี้ครับ

csrf คือ cross site request forgery หรือการเรียกข้ามเว็บไซท์แบบปลอมๆ เช่น ผมทำฟอร์มซ่อนฟอร์มหนึ่งในเว็บที่จะให้เหยื่อหลงเข้าไป
และเหยื่อที่ไม่ได้ log out จากหน้า member เว็บหนึ่งหลงเข้าไป ก็กลายเป็นการไปโพสท์ข้อความในเว็บไซท์ที่เหยื่อเป็น member กับเว็บนั้น

xss คือ cross site scripting อย่างเช่นมีเว็บหนึ่งทำโดยผู้ไม่มีประสบการณ์และไม่แคร์เรื่องความปลอดภัย
เขารับค่า $_GET['orders'] มา แล้วแสดง echo บนหน้าเว็บเลย พอผมเรียกเข้าไปว่า page.php?orders=alert('test');
ก็จะกลายเป็นหน้านั้นเขียน javascript alert ขึ้นมา ซึ่งมันทำในเรื่องร้ายแรงกว่านี้ได้เยอะ อันตรายมากครับ

วิธีนี้การกรอง $_GET $_POST ด้วย strip_tags หรือ htmlentities แค่นี้ไม่พอครับ มันต้องมีการกวาดหาพวกคำสั่ง javascript/inline style sheet ด้วย
เพราะพวกนี้บางทีจะไม่แทรกเข้ามาเป็นตัวอักษรธรรมดา แต่จะแทรกเข้ามาเป็นเหมือนกับตัวอักษร hex อะไรแบบนี้(ผมก็ไม่ค่อยเข้าใจมันเรียกว่าอะไร แต่มันทำได้)

ถ้าจะกัน csrf/xss ลองสคริปที่ผมทำแจกไว้ดูมั้ยครับ http://www.okvee.net/articles/secured-form-and-prevent-csrf-xss
มันกรองได้ไม่ perfect เหมือนที่พวก php framework เค้าทำกัน แต่ว่าก็ใช้ได้ดีในระดับหนึ่งนะครับ

Date : 2011-09-03 06:54:32

By : mr.v

No. 4

komkrich_t

โพสกระทู้ ( 6 )
บทความ ( 0 )

ขอบคุณครับ เดี๋ยวผมขอลองทำก่อนเเล้วถ้าติดเเล้วจะขอรบกวนใหม่อีกทีนะครับ

Date : 2011-09-07 01:36:48

By : komkrich_t

ค้นหาข้อมูล

แสดงความคิดเห็น

Re : สอบถามเรื่อง Function str_replace การป้องกันการโจมตีเเบบ xss

รายละเอียด

เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง

โดย

อีเมล์

บวกค่าให้ถูก