<MyRusakov.ru />

Программирование на Python с Нуля до Гуру

Программирование на Python с Нуля до Гуру

Данный курс научит Вас программировать на языке Python, который крайне желательно знать любому, кто хоть иногда имеет дело с компьютерами. Курс состоит из 6 разделов, в которых Вы с нуля освоите этот язык и сможете создавать самые разные программы для самых разных задач любой сложности.

К курсу прилагается множество упражнений и все исходники из уроков.

Наконец, Вы получите ещё несколько бонусов: "Создание калькулятора на Python", "Создание игры на Python" и "Правильная работа со справочником".

Подробнее
Подписка

Подписавшись по E-mail, Вы будете получать уведомления о новых статьях.

Подписка Подписаться

Добавляйтесь ко мне в друзья ВКонтакте! Отзывы о сайте и обо мне оставляйте в моей группе.

Мой аккаунт Мой аккаунт Моя группа
Опрос

Каким движком Вы предпочитаете пользоваться?

PHP: безопасность. Что такое XSS.

PHP: безопасность. Что такое XSS.

Всем привет! В этой статье мы рассмотрим, что такое XSS-атака и как от нее защититься.

Что такое XSS?

XSS(Cross Site Scripting) - межсайтовый скриптинг. С помощью XSS-уязвимостей обычно злоумышленники крадут cookies пользователей, используя вставки javascript кода. Данный вид атаки практически безопасен для сервера, но очень опасен для пользователей.

Как защититься от XSS?

Обычно подобную уязвимость можно найти в формах или в get запросах. Например, у нас есть форма поиска на сайте. Попробуйте ввести туда подобную команду:

<script>
  alert('cookies: ' + document.cookie)
</script>

Если вы увидите всплывающее окно с информацией о cookies, значит форма подвержена атаке.

То же самое можно проделать и для get запросов. Просто подставьте вместо нужного значения уже известную нам команду:

http://site.ru/script?query=<script>alert('cookies: ' + document.cookie)

На самом деле существуют многие разновидности кода, встраивая который в формы или запросы можно получить доступ к информации на сайте, но нам, как разработчикам, важно не это, а то, как от этой атаки защититься. Давайте об этом и поговорим.

Как защититься от XSS?

Чтобы защититься от XSS, нужно просто заменить все опасные символы на безопасные.

$strainer = array("<", ">");
$_GET['query'] = str_replace($strainer, "|", $_GET['query']);

Чтобы использовать стрейнер для каждого символа, можно написать функцию:

function xss_cleaner($array) {
  $strainer = array("<", ">");
  foreach($array as $num => $xss) {
   $array[$num] = str_replace($strainer, "|", $xss);
  }
  return $array;
}

$_REQUEST = xss_cleaner($_REQUEST);

Итак, на этом все. Спасибо за внимание!

Копирование материалов разрешается только с указанием автора (Михаил Русаков) и индексируемой прямой ссылкой на сайт (http://myrusakov.ru)!

Добавляйтесь ко мне в друзья ВКонтакте: http://vk.com/myrusakov.
Если Вы хотите дать оценку мне и моей работе, то напишите её в моей группе: http://vk.com/rusakovmy.

Если Вы не хотите пропустить новые материалы на сайте,
то Вы можете подписаться на обновления: Подписаться на обновления

Если у Вас остались какие-либо вопросы, либо у Вас есть желание высказаться по поводу этой статьи, то Вы можете оставить свой комментарий внизу страницы.

Порекомендуйте эту статью друзьям:

Если Вам понравился сайт, то разместите ссылку на него (у себя на сайте, на форуме, в контакте):

  1. Кнопка:

    Она выглядит вот так: Как создать свой сайт

  2. Текстовая ссылка:

    Она выглядит вот так: Как создать свой сайт

  3. BB-код ссылки для форумов (например, можете поставить её в подписи):

Комментарии (4):

kuller kuller 16.11.2015 09:32:57

ошибка $strainer = array("<", ">"); $_GET['query'] = str_replace($filter, "|", $_GET['query']); в переменных )))

Ответить

shmel010201 shmel010201 07.01.2017 09:36:54

Потому что вы написали вместо переменную $strainer, переменную $filter

Ответить

alexandr.alexxx.0098 alexandr.alexxx.0098 16.11.2015 16:39:57

Просто оставлю это здесь http://prntscr.com/93dpia

Ответить

serg_and serg_and 08.01.2019 19:33:54

Я думал в конце будет весь сайт((( А где его можно скачать готовый?

Ответить

Для добавления комментариев надо войти в систему.
Если Вы ещё не зарегистрированы на сайте, то сначала зарегистрируйтесь.