NOVINKA - Online rekvalifikační kurz Java programátor. Oblíbená a studenty ověřená rekvalifikace - nyní i online.
NOVINKA – Víkendový online kurz Software tester, který tě posune dál. Zjisti, jak na to!
Avatar
David
Člen
Avatar
David:20.2.2017 19:09

Zdravím, je tato syntaxe správně a funkční proti XSS ? Díky

while ($row=mysqli_fetch_object($clanek))

               {
                   echo "<table>";
                         echo     " <tr><td class=\"section-heading\"</td<td>". htmlspecialchars($row->title,ENT_QUOTES) ."</td></tr>";
                         echo                                       "<tr><td>". htmlspecialchars($row->content,ENT_QUOTES) ."</td></tr>";
                   echo "</table>";
               }
 
Odpovědět
20.2.2017 19:09
Avatar
Matúš Petrofčík
Tvůrce
Avatar
Odpovídá na David
Matúš Petrofčík:20.2.2017 19:23

Za mňa áno. V zásade by si mal všetky premenné vypisované do šablóny vypisovať pomocou funkcie htmlspecialchars. Zdroj.

<?php echo htmlspecialchars($string, ENT_QUOTES, 'UTF-8');

Prípadne môžeš používať

<?php echo htmlentities($string, ENT_QUOTES);

Edit: pozri aj sem: https://www.owasp.org/…_Cheat_Sheet#…

Editováno 20.2.2017 19:26
Nahoru Odpovědět
20.2.2017 19:23
obsah kocky = r^2 ... a preto vlak drnká
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 2 zpráv z 2.