Защита контактной формы - PullRequest
1 голос
/ 14 июля 2011

У меня есть клиент, чей сайт я создал с помощью Wordpress. У него есть контактная форма, созданная с контактной формой 7. Этот клиент является дочерней компанией более крупной организации, ИТ-отдел которой выполняет сканирование своих поддоменов. Попросил моего клиента защитить контактную форму 7 от вредоносных скриптов или снять ее.

Когда я спросил пример того, что они тестировали, мой клиент сообщил мне, что они запускают тесты, чтобы посмотреть, можно ли вставить скрипт в поле ввода (т. Е. <script>alert('hello');</script>) или в виде строки URL-адреса (т. Е. www.mydomain.com/contact?<script>alert('hello');</script>).

Со строкой запроса форма контакта устанавливает действие на: action="/?scriptalert('hello');/script#wpcf7-f1-p6-o1". Мой первый вопрос: повредит ли это чему-нибудь, так как "<" и ">" были удалены из строки?

Если да, могу ли я что-нибудь добавить, чтобы исключить возможность запуска сценариев в этой контактной форме?

1 Ответ

2 голосов
/ 14 июля 2011

HTML-кодирование - это один из способов предотвращения вступления в силу любого HTML / JS. Рекомендуется кодировать любое предоставленное пользователем значение перед его отображением на странице.

См. http://ca3.php.net/manual/en/function.htmlentities.php

...