какой код может повредить мой сайт

Question

Я хочу убедиться, что мошеннические пользователи не смогут повредить мой сайт или базу данных, вставив код в мои поля ввода.Какой код я должен использовать, чтобы проверить это?Я знаю, что есть html-теги, такие как iframe, но я не знаю, что поместить внутрь, чтобы проверить это.

Спасибо.

Answer 1

HTML

Я думаю использовать htmlspecialchars ( doc ) (это функция в PHP, но другой язык может иметь аналогичную функцию) или использовать другие системы разметки (?), Такие как phpBBи MediaWiki будет работать.Использование HTML-тегов в виде черных / белых списков может работать, но это довольно опасно - взломщик может нанести вред вашему сайту с помощью XSSing.

Например, вы можете подумать, что только разрешение p, br, img, font, a в порядке (Кстати, использовать font, когда можно использовать CSS, не очень хорошо), но XSS можно сделать с помощью ввода <img src="asdf" onerror="alert('hi')"/> или <a href="javascript:alert('hi')">.

SQL

Вы должны знать о введении SQLi-команд SQL.

Пример SQLi:

Способ избежать SQLi 'd в PHP использует mysql_real_escape_string ( doc ).

Answer 2

Вставьте специальные символы, особенно ', ?, ", $, ;, , и \. Если ваш сайт не выходит из строя, вы на правильном пути.

Но лучше всего использовать запросы с параметрами. Вы просто передаете строку в качестве параметра, и база данных позаботится о том, чтобы экранировать символы за вас. Вы вряд ли ошибетесь, если сделаете это.

Answer 3

Вы можете прочитать о SQL-инъекциях

Answer 4

Это действительно зависит от архитектуры и взаимодействия пользователя с вашим сайтом. Внедрение SQL в поля, введенные пользователем, является типичной атакой на системы, которые используют базы данных для входа пользователей в систему и т. Д. Следовательно, ограничения на символы, вводимые в поля пользователя и их проверку перед использованием.

"О твоем сыне ..." «О, Билли! Бросай столы?»