<MyRusakov.ru />

Создание движка на PHP и MySQL 2.0

Создание движка на PHP и MySQL 2.0

Видеокурс "Создание движка на PHP и MySQL 2.0" научит Вас создавать профессиональные движки для сайтов на PHP и MySQL с использованием ООП и паттерна MVC.

В курсе разобрана вся теория по структуре движка: как всё устроено, какие должны быть объекты, какая у них иерархия и как они взаимодействуют между собой.

В практической части будет создан движок с чистого листа. Будет создано ядро, все адаптеры, все вспомогательные классы, а также классы для работы с объектами базы данных. И чтобы курс был максимально полезным, будет создан движок для сайта MyRusakov.ru.

Подробнее
Подписка

Подписавшись по E-mail, Вы будете получать уведомления о новых статьях.

Подписка Подписаться

Добавляйтесь ко мне в друзья ВКонтакте! Отзывы о сайте и обо мне оставляйте в моей группе.

Мой аккаунт Мой аккаунт Моя группа
Опрос

Каким движком Вы предпочитаете пользоваться?

PHP: безопасность. Что такое XSS.

PHP: безопасность. Что такое XSS.

Всем привет! В этой статье мы рассмотрим, что такое XSS-атака и как от нее защититься.

Что такое XSS?

XSS(Cross Site Scripting) - межсайтовый скриптинг. С помощью XSS-уязвимостей обычно злоумышленники крадут cookies пользователей, используя вставки javascript кода. Данный вид атаки практически безопасен для сервера, но очень опасен для пользователей.

Как защититься от XSS?

Обычно подобную уязвимость можно найти в формах или в get запросах. Например, у нас есть форма поиска на сайте. Попробуйте ввести туда подобную команду:

<script>
  alert('cookies: ' + document.cookie)
</script>

Если вы увидите всплывающее окно с информацией о cookies, значит форма подвержена атаке.

То же самое можно проделать и для get запросов. Просто подставьте вместо нужного значения уже известную нам команду:

http://site.ru/script?query=<script>alert('cookies: ' + document.cookie)

На самом деле существуют многие разновидности кода, встраивая который в формы или запросы можно получить доступ к информации на сайте, но нам, как разработчикам, важно не это, а то, как от этой атаки защититься. Давайте об этом и поговорим.

Как защититься от XSS?

Чтобы защититься от XSS, нужно просто заменить все опасные символы на безопасные.

$strainer = array("<", ">");
$_GET['query'] = str_replace($strainer, "|", $_GET['query']);

Чтобы использовать стрейнер для каждого символа, можно написать функцию:

function xss_cleaner($array) {
  $strainer = array("<", ">");
  foreach($array as $num => $xss) {
   $array[$num] = str_replace($strainer, "|", $xss);
  }
  return $array;
}

$_REQUEST = xss_cleaner($_REQUEST);

Итак, на этом все. Спасибо за внимание!

Копирование материалов разрешается только с указанием автора (Михаил Русаков) и индексируемой прямой ссылкой на сайт (http://myrusakov.ru)!

Добавляйтесь ко мне в друзья ВКонтакте: http://vk.com/myrusakov.
Если Вы хотите дать оценку мне и моей работе, то напишите её в моей группе: http://vk.com/rusakovmy.

Если Вы не хотите пропустить новые материалы на сайте,
то Вы можете подписаться на обновления: Подписаться на обновления

Если у Вас остались какие-либо вопросы, либо у Вас есть желание высказаться по поводу этой статьи, то Вы можете оставить свой комментарий внизу страницы.

Порекомендуйте эту статью друзьям:

Если Вам понравился сайт, то разместите ссылку на него (у себя на сайте, на форуме, в контакте):

  1. Кнопка:

    Она выглядит вот так: Как создать свой сайт

  2. Текстовая ссылка:

    Она выглядит вот так: Как создать свой сайт

  3. BB-код ссылки для форумов (например, можете поставить её в подписи):

Комментарии (2):

kuller kuller 16.11.2015 09:32:57

ошибка $strainer = array("<", ">"); $_GET['query'] = str_replace($filter, "|", $_GET['query']); в переменных )))

Ответить

alexandr.alexxx.0098 alexandr.alexxx.0098 16.11.2015 16:39:57

Просто оставлю это здесь http://prntscr.com/93dpia

Ответить

Для добавления комментариев надо войти в систему.
Если Вы ещё не зарегистрированы на сайте, то сначала зарегистрируйтесь.