بستن منو
۱۶۵
تعداد کلیدهای این موضوع
لیست همه کلیدهای این موضوع
مباحث اولیه برای آشنایی با PHP
15
آرایه ها در PHP
11
انواع متغیرها و تبدیلات متغیرها در PHP
11
رشته ها (متن ها - strings) و کاراکترها در PHP
24
توابع در PHP
2
کوکی ها (cookie) در PHP
3
تاریخ و زمان در PHP
3
عملیات های ریاضی در PHP
13
فرم ها در PHP
4
کار با عکس ها در PHP
7
کار با فایل ها و پوشه ها (folder) در PHP
35
کار با ایمیل در PHP
1
برنامه نویسی شیء گرا (OOP) در PHP
4
پردازش فایل های XML ، در PHP
1
امنیت در PHP
1
پیاده سازی درگاه های پرداخت آنلاین، با کدهای PHP
1
خطاها و خطایابی، در PHP
1
کار با نرم افزار شبیه ساز سرور wampserver
1
کار با نرم افزار شبیه ساز سرور XAMPP
1
کتابخانه CURL در PHP
2
ساختار JSON ، در PHP
2
مباحث عمومی در PHP
22
×

دانلود فروشگاه اندروید کلیدستان

2502

نویسنده

علیرضا گلمکانی ( admin )

شماره کلید
دسته کلید - دسته بندی

حمله XSS ، در PHP و نکات امنیتی مرتبط با آن

یکی از حملاتی که هکرها می توانند به سایت ما داشته باشند، حمله XSS می باشد. عبارت XSS از Cross-site scripting گرفته شده است که برای عدم اشتباه گرفتن آن با CSS ، حرف اول آن به جای C ، برابر X در نظر گرفته شده است. در این نوع حمله، هکر کدهای مورد نظر خود را در میان کدهای صفحه سایت ما قرار می دهد و بنابراین این کدها، در مرورگر کاربران سایت اجرا خواهد شد.

شاید بتوان ساده ترین حالت از حمله XSS را به این صورت در نظر گرفت که هکر، در قسمت نظرات کاربران، به جای نوشتن یک متن معمولی، یک سری کد می نویسد، آن کدها در پایگاه داده سایت ذخیره می شود تا بعدا به کاربران، به عنوان نظرات کاربران قبلی، نمایش داده شود. بنابراین کاربرانی که به آن بخش از سایت می روند و به طور طبیعی، باید نظرات به آنها نمایش داده شود، کدهای هکر در مرورگرشان اجرا می شود. راه حل این مورد، فیلتر کردن ورودی های کاربران در قسمت نظرات می باشد (و یا در هر بخش دیگری از سایت که کاربر توسط یک فرم، اطلاعاتی را وارد می کند).

برای فیلتر کردن ورودی کاربران از کدهای مخرب، باید از تابع htmlspecialchars در PHP استفاده کنیم. در واقع در میان کدهایی که برای پردازش ورودی های کاربر نوشته ایم، اولین مرحله، دریافت ورودی توسط این تابع می باشد.

یک حالت دیگر این است که هکر، لینکی را به کاربران نمایش می دهد تا کاربران بر روی آن کلیک کنند، لینک به صفحه ای از سایت ما اشاره می کند که در آن، از روش GET برای دریافت مقدار یک ورودی استفاده کرده ایم، بنابراین هکر، در آدرس لینک، کدهای مخرب مورد نظر خود را به جای مقدار آن متغیر قرار می دهد. مثلا هکر آدرس لینک را به صورت زیر تعیین می کند :


http://www.kelidestan.com/index.php?input=HackerCodes

در آدرس فوق، هکر به جای عبارت HackerCodes ، یک سری کد مخرب خواهد نوشت که به عنوان مقدار متغیر input در نظر گرفته می شود. حال فرض کنید که کدهای صفحه مورد نظر که ما نوشته ایم، به صورت زیر باشد :


<?php
echo $_GET['input'];
?>

بنابراین چون مقدار متغیر input را (که البته همان کدهای مخرب هکر است) با دستور echo به خروجی صفحه می دهیم، بنابراین کدهای هکر، در صفحه و در مرورگر کاربر، اجرا خواهد شد.

برای جلوگیری از این مورد، باید با تابع htmlspecialchars در PHP ، ورودی تعیین شده به عنوان مقدار متغیر را از کدهای مخرب، فیلتر کنیم، یعنی این بار کدها را به صورت زیر می نویسیم :


<?php
echo htmlspecialchars($_GET['input']);
?>

کپی برداری از محتوای سایت کلیدستان، ممنوع بوده و پیگرد قانونی دارد. (تنها استفاده شخصی کاربر، مجاز است) (کپی برداری توسط سایر وب سایت ها = حرام) (بیشتر بدانید)

خوانده شد
مبحث بالا، مفید بود و سایت کلیدستان را دوست داشتم :
محبوب کردن این مبحث در گوگل :
اون چیزی که میخواستم نبود :
سوال دارم :
ارسال نظر :
نظرات 0 0 0

*** نظر بدهید

دسترسی سریع

×

شماره کلید


کلید
×

شماره دسته کلید


دسته کلید
×

جستجو


جستجو

راهنمای توابع PHP

راهنمای توابع PHP بر اساس حرف اول تابع :

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

بستن منو
۵۳۶
تعداد کلیدهای این موضوع
لیست همه کلیدهای این موضوع
مجموعه ویدئوهای آموزشی PHP - مجموعه PHP Tutorials - از thenewboston.com
200
مجموعه ویدئوهای آموزشی PHP - مجموعه PHP Tutorials
69
مجموعه ویدئوهای آموزشی PHP برای مبتدیان - مجموعه PHP beginners tutorials
55
مجموعه ویدئوهای آموزشی ساخت دانلودر اینستاگرام با استفاده از PHP - مجموعه PHP Instagram Downloader Tutorial - از thenewboston.com
10
مجموعه ویدئوهای آموزشی PHP Stock Market Analyzer - مجموعه PHP Stock Market Analyzer - از thenewboston.com
20
مجموعه ویدئوهای آموزشی امنیت در PHP - مجموعه PHP Security
10
مجموعه ویدئوهای آموزشی امنیت در PHP - مجموعه PHP Security
6
مجموعه ویدئوهای آموزشی برنامه نویسی شیء گرا (OOP) در PHP - مجموعه PHP Object Oriented Programming (OOP)
13
مجموعه ویدئوهای آموزشی ساخت شبکه اجتماعی، با استفاده از PHP - مجموعه Social Network with PHP
37
مجموعه ویدئوهای آموزشی ساخت سیستم شناسایی کاربران، با استفاده از PHP - مجموعه PHP Authentication System
33
مجموعه ویدئوهای آموزشی ساخت آپلودر فایل (برای چندین فایل) با امکان نمایش پیشرفت آپلود، با استفاده از AJAX و بر اساس PHP - مجموعه AJAX Multiple File Uploader & Progress Bar
10
مجموعه ویدئوهای آموزشی ثبت نام و ورود و خروج کاربران، در PHP - مجموعه Register & Login
47
مجموعه ویدئوهای آموزشی PHP و MySQL ، با استفاده از MySQLi - مجموعه PHP and MySQL with MySQLi
9
مجموعه ویدئوهای آموزشی ساخت فایل PDF از HTML و CSS ، در PHP - مجموعه Generating PDF files from HTML and CSS
7
بستن منو
۵۰
تعداد کلیدهای این موضوع
لیست همه کلیدهای این موضوع
مباحث اولیه برای آشنایی با MySQL
13
خواندن اطلاعات کلی پایگاه های داده (databases)، در MySQL
3
خواندن اطلاعات از جدول ها (tables)، در MySQL
13
تغییر دادن اطلاعات جدول ها (tables)، در MySQL
4
شیوه های اشاره به ردیف های (rows) جدول (table)، در MySQL
1
تبدیل های مرتبط با پایگاه داده MySQL
1
query های آماده برای ساخت جدول های دارای اطلاعات، برای تست های کدنویسی، در MySQL
2
کار با اعداد، در MySQL
3
استفاده از کلاس mysqli در PHP ، برای کار با پایگاه داده MySQL
4
برنامه phpMyAdmin ، برای کار با پایگاه داده MySQL
2
مباحث عمومی در MySQL
4
بستن منو
۳۳
تعداد کلیدهای این موضوع
لیست همه کلیدهای این موضوع
مجموعه ویدئوهای آموزشی پایگاه داده MySQL - مجموعه MySQL Database Tutorial - از thenewboston.com
33
بستن منو
۵۸
تعداد کلیدهای این موضوع
لیست همه کلیدهای این موضوع
مباحث اولیه برای آشنایی با HTML
24
نمایش متن، در HTML
5
نمایش عکس، در HTML
5
لینک ها (Link)، در HTML
1
لیست ها (List)، در HTML
1
جدول ها (Table)، در HTML
2
فرم ها (Form)، در HTML
10
مباحث عمومی، در HTML
10

آخرین کلیدهای غیررایگان

شما هم می توانید کلیدهای غیررایگان منتشر کنید (بیشتر بدانید)