<MyRusakov.ru />

Финансовая грамотность от А до Я

Финансовая грамотность от А до Я

Данный курс в кратчайшие сроки обучит Вас финансовой грамотности. Эти знания позволят Вам получить, как минимум, серьёзную финансовую стабильность, а, как максимум, финансовую независимость.

В рамках курса даётся большое количество практических заданий, благодаря которым Вы не просто посмотрите курс, а действительно выполните ряд важнейших шагов, о которых в нём говорится.

Помимо самого курса Вас ждёт ещё бесплатный ценный Бонус: «Ранний выход на пенсию». В рамках этого Бонуса Вы узнаете, какой должен быть капитал конкретно в Вашем случае, варианты его получения, а также какие есть стратегии вывода капитала на пенсии и где их можно протестировать.

Подробнее
Уроки и статьи
Подписка

Подпишитесь на мой канал на YouTube, где я регулярно публикую новые видео.

YouTube Подписаться

Подписавшись по E-mail, Вы будете получать уведомления о новых статьях.

Подписка Подписаться

Добавляйтесь ко мне в друзья ВКонтакте! Отзывы о сайте и обо мне оставляйте в моей группе.

Мой аккаунт Мой аккаунт Моя группа
Опрос

Какая тема Вас интересует больше?

PHP: безопасность. Что такое XSS.

PHP: безопасность. Что такое XSS.

Всем привет! В этой статье мы рассмотрим, что такое XSS-атака и как от нее защититься.

Что такое XSS?

XSS(Cross Site Scripting) - межсайтовый скриптинг. С помощью XSS-уязвимостей обычно злоумышленники крадут cookies пользователей, используя вставки javascript кода. Данный вид атаки практически безопасен для сервера, но очень опасен для пользователей.

Как защититься от XSS?

Обычно подобную уязвимость можно найти в формах или в get запросах. Например, у нас есть форма поиска на сайте. Попробуйте ввести туда подобную команду:

<script>
  alert('cookies: ' + document.cookie)
</script>

Если вы увидите всплывающее окно с информацией о cookies, значит форма подвержена атаке.

То же самое можно проделать и для get запросов. Просто подставьте вместо нужного значения уже известную нам команду:

http://site.ru/script?query=<script>alert('cookies: ' + document.cookie)

На самом деле существуют многие разновидности кода, встраивая который в формы или запросы можно получить доступ к информации на сайте, но нам, как разработчикам, важно не это, а то, как от этой атаки защититься. Давайте об этом и поговорим.

Как защититься от XSS?

Чтобы защититься от XSS, нужно просто заменить все опасные символы на безопасные.

$strainer = array("<", ">");
$_GET['query'] = str_replace($strainer, "|", $_GET['query']);

Чтобы использовать стрейнер для каждого символа, можно написать функцию:

function xss_cleaner($array) {
  $strainer = array("<", ">");
  foreach($array as $num => $xss) {
   $array[$num] = str_replace($strainer, "|", $xss);
  }
  return $array;
}

$_REQUEST = xss_cleaner($_REQUEST);

Итак, на этом все. Спасибо за внимание!

  • Создано 16.11.2015 07:00:00
  • Михаил Русаков

Копирование материалов разрешается только с указанием автора (Михаил Русаков) и индексируемой прямой ссылкой на сайт (http://myrusakov.ru)!

Добавляйтесь ко мне в друзья ВКонтакте: http://vk.com/myrusakov.
Если Вы хотите дать оценку мне и моей работе, то напишите её в моей группе: http://vk.com/rusakovmy.

Если Вы не хотите пропустить новые материалы на сайте,
то Вы можете подписаться на обновления: Подписаться на обновления

Если у Вас остались какие-либо вопросы, либо у Вас есть желание высказаться по поводу этой статьи, то Вы можете оставить свой комментарий внизу страницы.

Порекомендуйте эту статью друзьям:

Если Вам понравился сайт, то разместите ссылку на него (у себя на сайте, на форуме, в контакте):

  1. Кнопка:

    Она выглядит вот так: Как создать свой сайт

  2. Текстовая ссылка:

    Она выглядит вот так: Как создать свой сайт

  3. BB-код ссылки для форумов (например, можете поставить её в подписи):

Комментарии (4):

kuller kuller 16.11.2015 09:32:57

ошибка $strainer = array("<", ">"); $_GET['query'] = str_replace($filter, "|", $_GET['query']); в переменных )))

Ответить

shmel010201 shmel010201 07.01.2017 09:36:54

Потому что вы написали вместо переменную $strainer, переменную $filter

Ответить

alexandr.alexxx.0098 alexandr.alexxx.0098 16.11.2015 16:39:57

Просто оставлю это здесь http://prntscr.com/93dpia

Ответить

serg_and serg_and 08.01.2019 19:33:54

Я думал в конце будет весь сайт((( А где его можно скачать готовый?

Ответить

Для добавления комментариев надо войти в систему.
Если Вы ещё не зарегистрированы на сайте, то сначала зарегистрируйтесь.