Napadnut sam XSS, treba mi pomoc o nekoliko primera.
Koristim svoj CMS tako da moram ovo sam popraviti, zato treba mi neke savete ...
1. Radi se o slikama
Tacno nesecam se gde sam pronasao da mogu hakeri koristiti XSS na slikama koje se ucitava sa echo
Recimo slika je postavljena u bazi koristeci filter dali je jpg png i sl...
Code:
$result = mysql_query("Select * gallery i take dalje");
if(mysql_num_rows($result) != ""){
while($data = mysql_fetch_assoc($result)){
echo "<img src='images/".$data['photo_name']."' />";
}
}
$result = mysql_query("Select * gallery i take dalje");
if(mysql_num_rows($result) != ""){
while($data = mysql_fetch_assoc($result)){
echo "<img src='images/".$data['photo_name']."' />";
}
}
Jel ovo je xss vulnerability?
2. tinyMCE
U ovom slucaju moram snimiti HTML code u bazi, za ovo sam koristio samo filter stripslashes($_POST['content']) najvise sumljam u ovome.
Ali sta ako koristim za upis u bazi filter htmlentities(); prikaz sa html_entity_decode();
Jel ovo je bolja opcija za XSS vulnerability ?
3. PHP define();
Ponekad koristim HTML code u define();
Code:
define("TEST", "<b>Hello</b> <br />world.");
echo "<div>".TEST."</div>";
define("TEST", "<b>Hello</b> <br />world.");
echo "<div>".TEST."</div>";
Jel ovo je xss vulnerability?
I za kraj sta je najbolje koristit za polja recimo text plain ( $_POST['title'] ).
Hvala