Содержание
- 2. SQL инъекция $result = db_query(' SELECT * FROM users WHERE id = '" + $userID +
- 3. $userID = "5;DROP TABLE users";
- 4. $result = db_query(' SELECT * FROM users WHERE id = 5;DROP TABLE users; ');
- 5. Неправильно $result = db_query(' SELECT * FROM users WHERE id = '" + $userID + "';
- 6. Правильно $result = db_query(' SELECT * FROM users WHERE id = %d ‘, $userID);
- 7. Cross-site scripting (XSS) Основная проблема — кража пользовательских cookies, с помощью которых производится неавторизированный вход на
- 8. Как крадутся cookie document.write( ‘ ’/>’ );
- 9. Уязвимость в реальной жизни $output = ‘ ’. $title .’ ’;
- 10. $title = “ alert(document.cookie) ”;
- 11. alert(document.cookie)
- 12. $url = “javascript:alert(document.cookie)”;
- 13. …
- 14. Неправильно $output = ‘ ’. $title .’ ’;
- 15. Правильно $output = ‘ ’. check_plain($title) .’ ’;
- 16. Еще лучше $output = l($title, $url);
- 17. Фильтрация ввода — лечение от XSS check_plain() check_markup() ckeck_url() t() filter_xss_admin()
- 18. Подделка межсайтовых запросов (CSRF) Быстро удалить документ
- 19. А что если?
- 20. Лечение CSRF Управляющий код должен выполняться только в обработчиках форм, либо с проверкой токенов.
- 22. Скачать презентацию