Re: [討論] 為什麼SQL注入和XSS漏洞會這麼氾濫?
※ 引述《DarkKiller (System hacked)》之銘言:
: 推 Masakiad: 舉例過時了吧?php很少人這樣寫了 02/23 14:20
拿最紅的 Laravel 來講好了。
因為 Laravel 的 Blade 不有支援這些特殊的 escape,你必須知道這些概念後才
能自己寫 extension/plugin 產生正確的 escape。
: 1. htmlspecialchars($data) 或是 htmlentities($data)。
這是標準版,Blade 的預設值。
: 2. htmlspecialchars($data) 或是 htmlentities($data)。
這也是標準版,double quote 裡面的東西要 escape 是常忘的項目。
: 3. htmlspecialchars(urlencode($data)) 或是 urlencode($data)。
這邊處理的例子是 "+",只用 htmlspecialchars() 會導致 "+" 沒有被 escape,
而傳入變數裡會變成 " " (空白),這邊要用 urlencode() 才會正確的被 escape
,但因為放到 html 裡面,所以要用 htmlspecialchars() 包起來。
另外因為 urlencode() 會處理 htmlspecialchars() 的五個特殊字元:
php > echo urlencode("\"'&<>");
%22%27%26%3C%3E
所以這邊會說 htmlspecialchars() 可以省略。
用 Blade 的人需要「另外安裝套件」來處理:
https://github.com/laravelgems/blade-escape
: 4. htmlspecialchars(json_encode($data))。
如果 3. 可以理解,這個就比較簡單。
不管是 array 還是 object,包起來以後用 json_encode() 打包,然後因為放到
html 裡面,所以過一次 htmlspecialchars()。
然後上面提到的 https://github.com/laravelgems/blade-escape 在這邊沒辦法
用,因為程式碼只能處理字串:
https://github.com/laravelgems/blade-escape/blob/master/src/Providers/BladeEscapeServiceProvider.php
https://github.com/laravelgems/escape/blob/master/src/HTML.php
: 5. json_encode($data)。
這個是裡面最複雜的,也因為學到這個 XSS 技巧後,之後我寫 html js 的 best
practice 都一定是:
<!doctype html>
<body>
<script>
<!--
...
//-->
</script>
</body>
那個 <!-- 與 //--> 很重要。
https://bit.ly/39U38Wz
https://stackoverflow.com/questions/20942452/why-does-script-cause-a-dom-tree-break-on-the-browser
我講一下當時在 stackoverflow 上問的問題 (我靠這題賺了不少分),我當時的想
法是:
var a = <?= json_encode($data) ?>;
當 $data = "<!--<script>"; 時:
php > echo json_encode("<!--<script>");
"<!--<script>"
所以會產生出這樣的 html:
<!DOCTYPE HTML>
<html>
<body>
<script>
var a = '<!--<script>';
</script>
<p>Test</p>
</body>
</html>
但我發現上面這段程式碼你看不到 <p>test</p> 這段,於是就跑上去問了。原因
是上面這段不是合法的 html5,所以跳入 fallback 所以被打出 XSS 了。
所以 https://github.com/laravelgems/blade-escape 這邊在講 Javascript
Parameter 的部份給的範例也是有問題的:
<script>
var username = "@js($variable)";
</script>
<a href="#" onclick="displayDialog('@js($title)');">Click</a>
--
Resistance is futile.
https://blog.gslin.org/ & <[email protected]>
--
推推
其實我想說的是現在大多前端rendering, 很少後端做了,
所以可能舉js造成的比較實際
XSS不熟我就不講 SQL注入明顯是開發時便宜行事造成的阿..
![Re: [討論] 為什麼SQL注入和XSS漏洞會這麼氾濫?](https://cdn.sstatic.net/Sites/stackoverflow/Img/apple-touch-icon@2.png?v=73d79a89bded "Re: [討論] 為什麼SQL注入和XSS漏洞會這麼氾濫?")
27
[分享] 梗圖產生器 - 網站嵌入程式碼大家好 小弟近期在研發梗圖產生器 最近想開發「嵌入」功能 讓梗圖產生器可以嵌入在外部網站 類似「youtube 嵌入影片」那種功能 最近稍微搞懂原理,就是提供一段 html tag + script tag 給第三方![[分享] 梗圖產生器 - 網站嵌入程式碼](https://i.imgur.com/YgJ3Kqcb.jpg "[分享] 梗圖產生器 - 網站嵌入程式碼")
23
[請益] 新手如何入門第一個script語言各位板上前輩好 小弟剛入職軟體業 以前主要專長是寫C++ 沒寫過太複雜的script 最近在跑測試和蒐集數據的時候 使用到很多前人留下來的script 心裡想著這些script真厲害 我也想自己試著寫看看來增加工作效率 打開來看後才發現十分複雜 裡面有各種符號縮寫 我以前寫過的根本幼幼班等級 而且不同的script還使用不同的語法 目前有看到 bash, tcl, tcsh, perl, python18
[請益] 在js script裡面插php json_encod前些日子我在做某公司的測驗,整個測驗內有一個頁面,是單純顯示今日星座運勢。 我的做法是,後端的收到請求後撈出資料,接著再用json_encode的方式放在script bloc k內,因為頁面上是能切換星座來顯示運勢,所以我想用變數存起來。 fortune: JSON.parse('<?php echo json_encode($fortune); ?>') 但最後對方給的測驗結果是不適合,feeback是「在js script裡面插php json_encod」11
[爆卦] VIM 9 釋出啦距離上次釋出已經是疫情前 2019/12 號稱採用新的 Vim9 script 執行速度提升最高100倍 提供新的函數定義方式 不再以\ 作為斷行符號 腳本(script)管理更加容易9
[請益] 如何將網頁的數據自動轉成csv?hi 各位好 我覺得這個問題應該難不倒大家 但我發現我不太知道怎麼下手 我目前在統計中國cov感染的數據 比方說安徽省的官方統計數據可在這邊找到6
[問卦] Java的心情又如何?Java Script目前聲勢如日中天 大家以為最憂鬱的的是蟒蛇 Java Script有沒有想過 夜夜陪著你的Java 心情又如何?7
[討論] 在 .NET 使用 Pythonnet 的應用情境板上各位大大好 最近工作有接觸到 Pythonnet 想請教一下有使用過 Pythonnet 大大的經驗 我們部門軟體的核心架構是使用.NET ( UI, Custom Class, Custom Collection... ) 為了使程式外部化,將部分功能的模組寫在 Python2
[軟體] script 做事後跳出通知請問如果在 Mac 內跑 script 或指令 有什麼方式可以讓 script/指令 達成目的之後跳出通知呢? 如 Mac 本身右上角的那種通知 script/指令可能在背景執行,當下並不一定開著 terminal --2
[請益] AWS ECS 和自動化測試我需要在aws上面執行一個script cron job 網上搜搜發現 ECS Scheduled Tasks 是個不錯的辦法 另外一個需求就是執行自動化測試 例如cron job 每週一次 執行script beta param --> 測試成功 --> 執行script production --> 測試成功2
[閒聊] 6、7、8版追隨者桌子+9版寶庫巨集6版要塞桌子 /script ShowGarrisonLandingPage(2) 7版大廳桌子 /script ShowGarrisonLandingPage(3) 8版船上桌子