Zabezpečení vstupů v javascriptu?

17. 4. 2010 23:31:23

Zdravím.

Funkce sendRequest odesílá data z formuláře (přes ajax) na stránku test.php

Funkce escapeHTML by zase měla ošetřit nebezpečné znaky

První dva řádky funkce by měly nahradit nebezpečné znaky. Jakmile napíšu jeden ze znaků (& < >), tak vše, co je za tímto znakem, se vymaže vč. samotného znaku.

Pokud zadám znak již v upravené podobě - tj. & tak je situace stejná ...

Za každou radu bych byl moc vděčný.

---------- Post added 18.4.2010 at 1:06 ----------

Tak mi to pořád nedalo a po dalších 90 min jsem přišel na to, že je nutné celý vstup nejprve encodovat, aby vypadal nějak takto :)

%77%77%77%2E%67%6F%6F%67%6C%65%2E%63%6F%6D

Předpokládám, že co se javascriptu týče, jsou hodnoty patřičně ošetřeny. Snad mě nikdo nevyvede z omylu :)

17. 4. 2010 23:31:23

https://webtrh.cz/diskuse/zabezpeceni-vstupu-v-javascriptu/#reply493075

(22 hodnocení)

18. 4. 2010 09:25:24

hmmm... a co tak osetrit to az v php skripte? Osetrovat COKOLVEK na strane uzivatela je s prepacenim BLBOST... :)

18. 4. 2010 09:25:24

https://webtrh.cz/diskuse/zabezpeceni-vstupu-v-javascriptu/#reply493074

Radek Novak

18. 4. 2010 09:42:36

Blbost? Pokud zadá "nevhodné" znaky, může se odeslat zdeformovaný příspěvek nebo se vůbec neodešle :)

Kdybych to neošetřil již na straně klienta, vůbec by to neodeslalo znaky & < >... a co hůř, neodeslalo by to všechny znaky za těmito znaky.

18. 4. 2010 09:42:36

https://webtrh.cz/diskuse/zabezpeceni-vstupu-v-javascriptu/#reply493073

(22 hodnocení)

18. 4. 2010 10:40:04

zaujimave, ze ja nemam problem odoslat akykolvek obsah ajaxom (metodou POST) na spracovanie do php-ecka...

edit: teraz som skusil aj GET a no problemo..

18. 4. 2010 10:40:04

https://webtrh.cz/diskuse/zabezpeceni-vstupu-v-javascriptu/#reply493072

Kamil Vavra

(16 hodnocení)

18. 4. 2010 11:27:54

Neni problem upravit tvuj kod na strane klienta poslat ti tam znaky jako < >

18. 4. 2010 11:27:54

https://webtrh.cz/diskuse/zabezpeceni-vstupu-v-javascriptu/#reply493071

(22 hodnocení)

18. 4. 2010 11:47:11

predpokladam ze po zmene tych "nebezpecnych" znakov na entity sa ti vytvori & ktore vytvori novu odosielanu premennu... preto nastava to odstrihnutie textu

skus rekurzivne prejst obsah $_POST v test.php (print_r($_POST)) co to vypluje...

18. 4. 2010 11:47:11

https://webtrh.cz/diskuse/zabezpeceni-vstupu-v-javascriptu/#reply493070

Pro odpověď se přihlašte.

Přihlásit