Форма хранит данные в базе данных MySQL - XSS уязвимость

Question

У меня есть форма с одним полем textarea.Поле установлено для принятия чего-либо и сохраняет входные данные в базе данных при отправке.Затем код публикуется как URL, например: domain.com/asd.Я не делаю никаких типов strip_tags, htmlentities или какого-либо другого предотвращения xss.

Мой вопрос: какой вред это может причинить?Может ли пользователь выполнить любой тип xss для извлечения информации из базы данных во время ввода или вывода.

Answer 1

XSS не делает никаких атак против вашего сервера, которые были бы невозможны без XSS. XSS позволяет неавторизованному пользователю действовать как авторизованный пользователь. Если у вас нет аутентификации пользователя на вашем сайте, XSS обычно не представляет угрозы.

Answer 2

Возможно, вы подвергаетесь серьезной угрозе хранимых xss-атак. Хранимые межсайтовые сценарии:

Уязвимость хранимых межсайтовых сценариев возникает, когда злонамеренный пользователь может сохранить некоторую атаку, которая будет вызвана позднее для другого не подозревающего пользователя. Атака на самом деле хранится в каком-то методе для последующего выполнения.

Итак, если вредоносный код находится в текстовой области, и вы его храните. В более поздний момент времени, когда вы отображаете данные, хранящиеся в БД, похоже, что вы правильно выполняете код. Помимо этого, есть много других способов играть с вашей базой данных, когда вы используете данные из текстовой области в своем запросе SQL.

Answer 3

Когда вы принимаете ввод от пользователя, вы должны как минимум:

• для базы данных используйте PDO для предотвращения SQL-инъекций.
• используйте фильтр для предотвращения XSS

В противном случае ваш код станет небезопасным.

Я бы порекомендовал вам прочитать OWASP , чтобы узнать больше о множестве уязвимостей. Особенно необходимо прочитать страницу OWASP top 10 .