Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 15 лет назад пользователемDrupalcampkyiv
1 Безопасный код © Александр Швец
2 SQL инъекция $result = db_query(' SELECT * FROM users WHERE id = '" + $userID + "'; );
3 $userID = "5;DROP TABLE users";
4 $result = db_query(' SELECT * FROM users WHERE id = 5;DROP TABLE users; ');
5 Неправильно $result = db_query(' SELECT * FROM users WHERE id = '" + $userID + "'; );
6 Правильно $result = db_query(' SELECT * FROM users WHERE id = %d, $userID);
7 Cross-site scripting (XSS) Основная проблема кража пользовательских cookies, с помощью которых производится неавторизированный вход на сайт.
8 Как крадутся cookie document.write( );
9 Уязвимость в реальной жизни $output =. $title. ;
10 $title = alert(document.cookie) ;
11 alert(document.cookie)
12 $url = javascript:alert(document.cookie);
13 …
14 Неправильно $output =. $title. ;
15 Правильно $output =. check_plain($title). ;
16 Еще лучше $output = l($title, $url);
17 Фильтрация ввода лечение от XSS check_plain() check_markup() ckeck_url() t() filter_xss_admin()
18 Подделка межсайтовых запросов (CSRF) Быстро удалить документ
19 А что если?
20 Лечение CSRF Управляющий код должен выполняться только в обработчиках форм, либо с проверкой токенов.
21 Спасибо за внимание! Контакты: Александр Швец Ссылки:
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.