Diskuse:Cross-site scripting
Toto není XSS!!! Článek je chybný! To co popisuje toto heslo je spíš Remote File Inclusion! XSS je jen a pouze ten javascript - a nemusí se zadávat zrovna přes URL (i když to jde také), často se do stránek dostává neošetřeným vstupem/s obrázkem atd.
Jdu to přepsat :-) --Splite 16:17, 22. 8. 2007 (UTC)
EDIT: Zhruba přepsáno, ještě to jednou zreviduju a pohraju si s jazykem, teď není čas... --Splite 18:17, 22. 8. 2007 (UTC)
Kapitola „Účinný příklad obrany v jazyce PHP“ je zcela v rozporu s bezpečnostními požadavky
editovatV Kapitole „Účinný příklad obrany v jazyce PHP“ článku je ukázka funkcí htmlspecialcharsRecursive($val)
a fixSuperglobals()
, které jsou ale naprosto nesprávné, vytváří vývojové prostředí, v němž nebude možné rozumně napsat správně zabezpečenou aplikaci. Navrhuji tento odstavec odstranit bez náhrady, případně místo něho dát nějaký článek popisující správný návrh, např.: Escapování – definitivní příručka od autora Davida Grudla.
Důvod:
Uvedený kód nerespektuje kontext, v němž jsou pak proměnné používány. Tedy uvedené metody způsobí, že aplikace je bezpečná pouze při použití v HTML, ale nikoliv v JS, nebo SQL databázi. takto escapované hodnoty tedy není možné strojově zpracovat, protože tato data jsou již poškozena a je nutné data zpětně od-escapovat a po úpravě opět zaescapovat. To neúměrně zvyšuje komplexitu aplikace a současně to narušuje zdánlivou integritu bezpečnosti, které měly shora popsané funkce htmlspecialcharsRecursive($val)
a fixSuperglobals()
nastolit. --Jakub Bouček (diskuse) 4. 3. 2020, 23:40 (CET)
Doplnil jsem značku Celkově zpochybněno
editovat
Dovolil jsem si na stránku doplnit značku Celkově zpochybněno
, viz moje argumentace výše - domnívám se, že je to celé špatně a rady jsou více škodlivé, než užitečné. --Jakub Bouček (diskuse) 27. 8. 2020, 22:31 (CEST)