Jak zamezit vkládání javascriptů do databáze?

25. 2. 2008 00:16:16

Napsal Jauzah;36536
Při vstupu do db určitě taky stojí za zmínku fce mysqli_real_escape_string. Možností je spoustu z obou stran, pokud se dodržujou určitá aspoň základní pravidla zabezpečení, neni se moc čeho bát.

Tady se nejedná jenom o zabezpečení databáze, ale i o obyčejném zobrazení výstupu bez uložení. Samotný tisk tohoto řetězce je nebezpečný.

25. 2. 2008 00:16:16

https://webtrh.cz/diskuse/jak-zamezit-vkladani-javascriptu-do-databaze/strana/2/#reply46328

Michal Řehák

(4 hodnocení)

25. 2. 2008 11:55:42

Napsal Honzaa;36549
Tady se nejedná jenom o zabezpečení databáze, ale i o obyčejném zobrazení výstupu bez uložení. Samotný tisk tohoto řetězce je nebezpečný.

Takovy prispevky miluju. Ja se ti snazil jenom pridat dalsi tip, jak toho zabezpeceni docilit normalni cestou.

25. 2. 2008 11:55:42

https://webtrh.cz/diskuse/jak-zamezit-vkladani-javascriptu-do-databaze/strana/2/#reply46327

miniJOHN

(57 hodnocení)

25. 2. 2008 12:10:47

Napsal Honzaa;36549
Tady se nejedná jenom o zabezpečení databáze, ale i o obyčejném zobrazení výstupu bez uložení. Samotný tisk tohoto řetězce je nebezpečný.

Jak to myslíš? Jako že máš komentář a náhled komentáře?

25. 2. 2008 12:10:47

https://webtrh.cz/diskuse/jak-zamezit-vkladani-javascriptu-do-databaze/strana/2/#reply46326

Ivan L.

25. 2. 2008 12:48:41

Napsal Honzaa;36543
To snad ne ! Píšeš smajlíky do vyhledávacího formuláře třeba na Google ? Co by to mělo najít ? A pokud jde o podezřelé konstrukce, kolik bych jich tam musel uvést ? Co třeba " To jsem nepobral. Na začátku svého vlákna zmiňuješ zápis do db a najednou mluvíš o vyhledávání. Kdybys použil tu funkci co navrhuješ na tomto fóru, tak by se ti neuložil ani jeden příspěvek v tomto konkrétním vlákně který obsahuje znak "<" ;)

25. 2. 2008 12:48:41

https://webtrh.cz/diskuse/jak-zamezit-vkladani-javascriptu-do-databaze/strana/2/#reply46325

Arthur

(2 hodnocení)

25. 2. 2008 14:19:06

Napsal Ivan L.;36630
Na začátku svého vlákna zmiňuješ zápis do db a najednou mluvíš o vyhledávání.

Ano, to mi taky nějak nesedělo, ale pak jsem si řekl, že třeba Honzaa ukládá jednotlivá hledání do DB pro jejich následnou analýzu...

25. 2. 2008 14:19:06

https://webtrh.cz/diskuse/jak-zamezit-vkladani-javascriptu-do-databaze/strana/2/#reply46324

Honzaa

25. 2. 2008 16:20:51

Napsal Arthur;36659
Ano, to mi taky nějak nesedělo, ale pak jsem si řekl, že třeba Honzaa ukládá jednotlivá hledání do DB pro jejich následnou analýzu...

Při vyhledávání dochází k zápisu do databáze a je to z důvodu počítání počtu vyhledávání viz http://www.automotoforum.cz/words.php Vyhledávaná slova v podobě scriptů jsou opravdu nežádoucí.

25. 2. 2008 16:20:51

https://webtrh.cz/diskuse/jak-zamezit-vkladani-javascriptu-do-databaze/strana/2/#reply46323

Honzaa

25. 2. 2008 16:50:05

Napsal miniJOHN;36618
Jak to myslíš? Jako že máš komentář a náhled komentáře?

Např. někdo něco vyhledává, napíše do vyhledávacího boxu třeba "diskuzní fórum" a na stránce, která obsluhuje tento formulář se vypíše: Právě jste hledali termín: "Diskuzní fórum" a zároveň dojde k vyhledání a vypsání toho termínu. Co se stane, když potenciální útočník místo "Diskuzní fórum" napíše "" ?

25. 2. 2008 16:50:05

https://webtrh.cz/diskuse/jak-zamezit-vkladani-javascriptu-do-databaze/strana/2/#reply46322

Fuck You

(1 hodnocení)

25. 2. 2008 17:13:44

Napsal Honzaa;36712
Např. někdo něco vyhledává, napíše do vyhledávacího boxu třeba "diskuzní fórum" a na stránce, která obsluhuje tento formulář se vypíše: Právě jste hledali termín: "Diskuzní fórum" a zároveň dojde k vyhledání a vypsání toho termínu. Co se stane, když potenciální útočník místo "Diskuzní fórum" napíše "" ?

No tak se mu vypíše , přesně jako tady. Čím je to nebezpečný?

25. 2. 2008 17:13:44

https://webtrh.cz/diskuse/jak-zamezit-vkladani-javascriptu-do-databaze/strana/2/#reply46321

miniJOHN

(57 hodnocení)

25. 2. 2008 17:40:05

Nic se mu nestane...:)

Leda by někomu poslal odkaz ve tvaru www.tvojedomena.cz/search= ...

Na to je nejlepší při echování použít již zmíněnou fkc htmlspecialchars()

25. 2. 2008 17:40:05

https://webtrh.cz/diskuse/jak-zamezit-vkladani-javascriptu-do-databaze/strana/2/#reply46320

Honzaa

25. 2. 2008 17:57:17

Napsal llook;36721
No tak se mu vypíše , přesně jako tady. Čím je to nebezpečný?

Je pouze jeden důvod proč nepoužívám htmlspecialchars()

a to je možnost zapsat odkaz speciálními znaky jako např. Гарантированное качество и Оптимизация

Pokud se toto převede s htmlspecialchars() bude z toho nesmysl.

Muselo by se to znovu dekódovat s htmlspecialchars_decode(), ale to by nevyřešilo odstranění závadných zápisů z databáze.

Ale když tak nad tím dumám, šlo by udělat to, že pokud by řetězec obsahoval '<' tisklo by se to bez htmlspecialchars_decode() a pokud ne tak obráceně.

25. 2. 2008 17:57:17

https://webtrh.cz/diskuse/jak-zamezit-vkladani-javascriptu-do-databaze/strana/2/#reply46319

Ivan L.

25. 2. 2008 18:44:55

Funkce htmlspecialchars() podporuje azbuku. Tady je stránka která výstup z formuláře prožene htmlspecialchars() a vyplivne na obrazovku. Můžeš si tam vyskoušet i azbuku.

25. 2. 2008 18:44:55

https://webtrh.cz/diskuse/jak-zamezit-vkladani-javascriptu-do-databaze/strana/2/#reply46318

Honzaa

25. 2. 2008 18:59:13

Napsal Ivan L.;36754
Funkce htmlspecialchars() podporuje azbuku. Tady je stránka která výstup z formuláře prožene htmlspecialchars() a vyplivne na obrazovku. Můžeš si tam vyskoušet i azbuku.

Bohužel jsem začal s katalogem neprozřetelně s kódováním CP-1250. Pokud bych to převedl na UTF-8, musel bych opravit spoustu chyb a moc se mi do toho nechce.

25. 2. 2008 18:59:13

https://webtrh.cz/diskuse/jak-zamezit-vkladani-javascriptu-do-databaze/strana/2/#reply46317

Fuck You

(1 hodnocení)

25. 2. 2008 19:28:10

Tak teď ti moc nerozumím, to uživatelům umožňuješ zapisovat znaky pomocí entit? Pak bys místo htmlspecialchars mohl používat str_replace:

25. 2. 2008 19:28:10

https://webtrh.cz/diskuse/jak-zamezit-vkladani-javascriptu-do-databaze/strana/2/#reply46316

Honzaa

25. 2. 2008 19:50:43

Napsal llook;36768
Tak teď ti moc nerozumím, to uživatelům umožňuješ zapisovat znaky pomocí entit? Pak bys místo htmlspecialchars mohl používat str_replace:
$vystup = str_replace( array("<", ">", """, "'"), array("<", ">", """, "'"), $vstup );

Právě že to nejsou html entity, ale znaky, které se zapisují jako na wapu. Pokud někdo umí pracovat s wapovým kódováním, bude vědět o čem je řeč.

Bohužel toto fórum to automaticky enkóduje, takže to nelze zobrazit v původním tvaru. Tak si stahněte příklad v txt souboru.

Viz příklad:

http://www.automotoforum.info/example.txt

25. 2. 2008 19:50:43

https://webtrh.cz/diskuse/jak-zamezit-vkladani-javascriptu-do-databaze/strana/2/#reply46315

Arthur

(2 hodnocení)

26. 2. 2008 00:22:22

Napsal Honzaa;36777
Právě že to nejsou html entity, ale znaky, které se zapisují jako na wapu. Pokud někdo umí pracovat s wapovým kódováním, bude vědět o čem je řeč.

Jsou to HTML numerické entity. Zkus html_entity_decode() (plus tu diskusi pod tím)

26. 2. 2008 00:22:22

https://webtrh.cz/diskuse/jak-zamezit-vkladani-javascriptu-do-databaze/strana/2/#reply46314