Pouze tento týden sleva až 80 % na e-learning týkající se Pythonu. Zároveň využij akce až 80 % zdarma při nákupu kreditů. Více informací:
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.
Avatar
David
Člen
Avatar
David:20.2.2017 19:09

Zdravím, je tato syntaxe správně a funkční proti XSS ? Díky

while ($row=mysqli_fetch_object($clanek))

               {
                   echo "<table>";
                         echo     " <tr><td class=\"section-heading\"</td<td>". htmlspecialchars($row->title,ENT_QUOTES) ."</td></tr>";
                         echo                                       "<tr><td>". htmlspecialchars($row->content,ENT_QUOTES) ."</td></tr>";
                   echo "</table>";
               }
 
Odpovědět
20.2.2017 19:09
Avatar
Matúš Petrofčík
Tvůrce
Avatar
Odpovídá na David
Matúš Petrofčík:20.2.2017 19:23

Za mňa áno. V zásade by si mal všetky premenné vypisované do šablóny vypisovať pomocou funkcie htmlspecialchars. Zdroj.

<?php echo htmlspecialchars($string, ENT_QUOTES, 'UTF-8');

Prípadne môžeš používať

<?php echo htmlentities($string, ENT_QUOTES);

Edit: pozri aj sem: https://www.owasp.org/…_Cheat_Sheet#…

Editováno 20.2.2017 19:26
Nahoru Odpovědět
20.2.2017 19:23
obsah kocky = r^2 ... a preto vlak drnká
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 2 zpráv z 2.