- Home
- Categorie
- Coding e Sistemistica
- Coding
- E' possibile prevenire un attacco XSS con la funzione strip_tags?
-
E' possibile prevenire un attacco XSS con la funzione strip_tags?
Ciao ragazzi...
Come da titolo volevo sapere se la funzione strip_tags è utile o no ad evitare un attacco XSS...
Insomma, mettendo solo questa funzione posso stare tranquillo per questo tipo di attacchi?Aspetto vostri consigli
-
Ciao Protone86,
dipende che utilizzo ne fai dell'input ricevuto.
-
@Thedarkita said:
Dipende che utilizzo ne fai dell'input ricevuto.
In che senso?
L'input lo visualizzo a schermo e lo memorizzo anche nel database (non necessariamente in quest'ordine)...
-
Lo mostri dove e in che modo?
Qualora tu dovessi far inserire ad un utente del semplice testo, senza dover consentire di inserire codice html, la soluzione ideale mi sembra utilizzare htmlentities.
Nel caso in cui tu vuoi consentire ad un utente di inserire codice html, senza però consentire di inserire codice javascript il discorso sarebbe diverso e quindi dovresti utilizzare strip_tags per filtrare solo alcuni tag html.
Non esistono soluzioni generali, che in ogni caso siano perfette, tutto dipende dalle finalità.
-
Strano quello che dici perchè tramite stip_tags riesco a NON far visualizzare/girare qualsiasi tipo di tag (html o altro linguaggio che sia)...
-
Si, lo fai, ma se io utente vado sul tuo sito e voglio utilizzare uno di quei tag e mostrarlo come testo normale per qualche ragione? Con htmlentities lo converti e lo mostri, con strip_tags lo rimuovi... Non subisci danni, ma perchè dovresti rimuoverlo piuttosto che renderlo innocuo?
-
Ahhh ok, ho capito la differenza...
Beh, il mio sito è un sito per incontri quindi non penso che in un sito del genere per conoscere una ragazza ci si mandi un pezzetto di codice html o javascript
Comunque, tanto per concludere, ho usato strip_tags per il semplice fatto che quando ho scritto il codice del sito conoscevo solo quella soluzione al problema...
Grazie per la spiegazione
-
Figurati.