<MyRusakov.ru />

Создание Интернет-магазина на PHP и MySQL

Создание Интернет-магазина на PHP и MySQL

Видеокурс "Создание Интернет-магазина на PHP и MySQL" - это уникальный курс по созданию Интернет-магазина с нуля. Особенностью данного курса является то, что создание идёт с самого начала, то есть от идеи. Далее создаётся дизайн всех необходимых страниц, после делается их вёрстка. Затем создаётся движок на PHP и MySQL, после делается Admin-панель и, наконец, готовый сайт размещается в Интернете.

Адрес созданного в этом курсе сайта: http://storedvd.ru

Всё создание сайта будет происходить на Ваших глазах, поэтому Вы легко сможете повторить весь процесс создания сложного функционального сайта уже при разработке своего портала.

Подробнее
Подписка

Подписавшись по E-mail, Вы будете получать уведомления о новых статьях.

Подписка Подписаться

Добавляйтесь ко мне в друзья ВКонтакте! Отзывы о сайте и обо мне оставляйте в моей группе.

Мой аккаунт Мой аккаунт Моя группа
Опрос

Каким движком Вы предпочитаете пользоваться?

PHP: безопасность. Что такое XSS.

PHP: безопасность. Что такое XSS.

Всем привет! В этой статье мы рассмотрим, что такое XSS-атака и как от нее защититься.

Что такое XSS?

XSS(Cross Site Scripting) - межсайтовый скриптинг. С помощью XSS-уязвимостей обычно злоумышленники крадут cookies пользователей, используя вставки javascript кода. Данный вид атаки практически безопасен для сервера, но очень опасен для пользователей.

Как защититься от XSS?

Обычно подобную уязвимость можно найти в формах или в get запросах. Например, у нас есть форма поиска на сайте. Попробуйте ввести туда подобную команду:

<script>
  alert('cookies: ' + document.cookie)
</script>

Если вы увидите всплывающее окно с информацией о cookies, значит форма подвержена атаке.

То же самое можно проделать и для get запросов. Просто подставьте вместо нужного значения уже известную нам команду:

http://site.ru/script?query=<script>alert('cookies: ' + document.cookie)

На самом деле существуют многие разновидности кода, встраивая который в формы или запросы можно получить доступ к информации на сайте, но нам, как разработчикам, важно не это, а то, как от этой атаки защититься. Давайте об этом и поговорим.

Как защититься от XSS?

Чтобы защититься от XSS, нужно просто заменить все опасные символы на безопасные.

$strainer = array("<", ">");
$_GET['query'] = str_replace($strainer, "|", $_GET['query']);

Чтобы использовать стрейнер для каждого символа, можно написать функцию:

function xss_cleaner($array) {
  $strainer = array("<", ">");
  foreach($array as $num => $xss) {
   $array[$num] = str_replace($strainer, "|", $xss);
  }
  return $array;
}

$_REQUEST = xss_cleaner($_REQUEST);

Итак, на этом все. Спасибо за внимание!

Копирование материалов разрешается только с указанием автора (Михаил Русаков) и индексируемой прямой ссылкой на сайт (http://myrusakov.ru)!

Добавляйтесь ко мне в друзья ВКонтакте: http://vk.com/myrusakov.
Если Вы хотите дать оценку мне и моей работе, то напишите её в моей группе: http://vk.com/rusakovmy.

Если Вы не хотите пропустить новые материалы на сайте,
то Вы можете подписаться на обновления: Подписаться на обновления

Если у Вас остались какие-либо вопросы, либо у Вас есть желание высказаться по поводу этой статьи, то Вы можете оставить свой комментарий внизу страницы.

Порекомендуйте эту статью друзьям:

Если Вам понравился сайт, то разместите ссылку на него (у себя на сайте, на форуме, в контакте):

  1. Кнопка:

    Она выглядит вот так: Как создать свой сайт

  2. Текстовая ссылка:

    Она выглядит вот так: Как создать свой сайт

  3. BB-код ссылки для форумов (например, можете поставить её в подписи):

Комментарии (3):

kuller kuller 16.11.2015 09:32:57

ошибка $strainer = array("<", ">"); $_GET['query'] = str_replace($filter, "|", $_GET['query']); в переменных )))

Ответить

shmel010201 shmel010201 07.01.2017 09:36:54

Потому что вы написали вместо переменную $strainer, переменную $filter

Ответить

alexandr.alexxx.0098 alexandr.alexxx.0098 16.11.2015 16:39:57

Просто оставлю это здесь http://prntscr.com/93dpia

Ответить

Для добавления комментариев надо войти в систему.
Если Вы ещё не зарегистрированы на сайте, то сначала зарегистрируйтесь.