PHP - Примеры защиты форм

Question

Есть ли список примеров атак, которые можно использовать для проверки формы PHP?

В частности, это для форума, который использует анализатор для анализа bbcode и не принимает HTML напрямую.

В данный момент он запускается через функцию codeigniters xss_clean, а также htmlspecialchars.

Если все меняется, он запускает htmlspecialchars_decode () при помещении данных обратно во входной файл или текстовую область для редактирования, ноне при нормальном отображении.

Есть некоторые области, которые я не до конца понимаю (никогда не пытался взломать сайт), например, когда кто-то публикует изображение, которое запускается через скрипт, или добавляет дополнительные строки javascript вобраз.Поэтому я в основном ищу примеры, которые можно вставить в мою форму, чтобы проверить, обрабатывает ли она ее.

Я должен отметить, что я избегал использования strip_tags, поскольку он портится в различных случаях, таких как:

Если я наберу X

все будет удалено

Answer 1

Я не могу принять это как ответ, так как это был комментарий, но @ComFreek дал действительно полезную ссылку, просто вставьте их в свои формы, чтобы проверить на ошибки.

Многие из них встречаются только в старых браузерах, хотя особенно старые версии IE

ha.ckers.org / xss.html

Answer 2

Я бы рекомендовал использовать функцию CodeIgniter html_escape вместо htmlspecialchars.Вы можете не только вернуться и повысить безопасность всех своих выходных данных из одного централизованного места, поскольку это функция, но и очистить массивы .

Также проверьте этот выход,Ссылка работает, сервер на данный момент просто не работает. Здесь - «короткая» версия.