dodání ihned! nové
Black Friday je tu! Využij jedinečnou příležitost a získej až 80 % znalostí navíc zdarma! Více zde
BF
Avatar
David
Člen
Avatar
David:20.2.2017 19:09

Zdravím, je tato syntaxe správně a funkční proti XSS ? Díky

while ($row=mysqli_fetch_object($clanek))

               {
                   echo "<table>";
                         echo     " <tr><td class=\"section-heading\"</td<td>". htmlspecialchars($row->title,ENT_QUOTES) ."</td></tr>";
                         echo                                       "<tr><td>". htmlspecialchars($row->content,ENT_QUOTES) ."</td></tr>";
                   echo "</table>";
               }
 
Odpovědět
20.2.2017 19:09
Tento výukový obsah pomáhají rozvíjet následující firmy, které dost možná hledají právě tebe!
Avatar
Odpovídá na David
Matúš Petrofčík:20.2.2017 19:23

Za mňa áno. V zásade by si mal všetky premenné vypisované do šablóny vypisovať pomocou funkcie htmlspecialchars. Zdroj.

<?php echo htmlspecialchars($string, ENT_QUOTES, 'UTF-8');

Prípadne môžeš používať

<?php echo htmlentities($string, ENT_QUOTES);

Edit: pozri aj sem: https://www.owasp.org/…_Cheat_Sheet#…

Editováno 20.2.2017 19:26
Nahoru Odpovědět
20.2.2017 19:23
obsah kocky = r^2 ... a preto vlak drnká
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 2 zpráv z 2.