سلام دوستان...
امروز نحوه پچ کردن باگ xss را با هم بررسی می کنیم./
همونطور که توضیح دادم این باگ عموما بر اثر بی توجهی و عدم بررسی ورودی ها رخ می دهد./ حالا اگه ما ورودی ها رو چک کنیم دیگه جای هیچ مشکلی نمی مونه./ کد زیر را در نظر بگیرید:کد PHP:
کد:
کد:
<?php
$temp = $_GET['search'];
echo $temp
?>
همانطور که مشاهده می کنید این یک کد آسیب پذیر به باگ xss است./ در زیر به روش های پچ این باگ می پردازیم.
1- استفاده از تابع addslash() : این تابع یک اسلش به ورودی های مشکوک به این حمله اضافه می کند( مانند: \',\",...)کد PHP:
کد:
کد:
<?php
$temp=addslash($_GET['search']);
echo $temp;
?>
این روش یک روش معمول و پر استفاده می باشد اما ایمن نست و به راحتی قابل دور زدن است.!
2- استفاده از تابع htmlspecialchars() : کار این تابع این است که تمامی کاراکتر های استاندارد زبان html را به کد شده آن تبدیل می کند که دقیقا همان کاراکتر ها را در خروجی نمایش می دهد./کد PHP:
کد:
کد:
<?php
$temp=htmlspecialchars($_GET['search']);
echo $temp;
?>
این روش می تواند روش موثری در برابر این نوع حملات باشد.
3- استفاده از تابع htmlentities() : این تابع نیز دقیقا مانند تابع بالا عمل کرده و از عملکرد مناسب تر و دقیقتری برخوردار است:کد PHP:
کد:
کد:
<?php
$temp=htmlentities($_GET['search']);
echo $temp;
?>
4- سایر روش های جلوگیری: این روش ها بستگی به خلاقیت برنامه نویس دارد و اینکه از کدام روشها استفاده نماید./
موفق باشید...
