CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

dustie Mester

14. februar 2017 - 16:07 Der er 3 kommentarer og
1 løsning

Beskyttelse mod XXS, CSRF m.m. i 2017 [PHP 7+]

Hej eksperter.

Jeg kunne godt tænke mig at høre jeres bud på hvad der er best practice til at beskytte imod skidt ind og ud. Hvad gør man ved modtagelse af input og ved visning af det senere? Her et tænkt eksempel der ikke skal lukke html o.l. helskindet gennem input og som allerede bruger prepared statement via PDO eller bruger f.eks. Doctrine DBAL.

Der findes et hav af information på nettet (men intet på eksperten?), men det kræver en skovl at grave sig gennem skidt og kanel, så forhåbentligt kommer der nogle gode bud her på "den rette måde" eller links til noget der ikke er ren skidt og kanel.

Tak! : )

Synes godt om

dustie Mester

14. februar 2017 - 16:23 #1

XXS/XSS....

Synes godt om

arne_v Ekspert

14. februar 2017 - 16:30 #2

Det er jo et meget bredt spoergsmaal.

Jeg vil anbefale et forsvar i dybden.

1) convenience (som ikke er securityr, men netop kun convenience)

Lav noget client side JavaScript som checker om input er valid og informerer bruger hvis det ikke er - uden at ramme server side.

2) security on input

Check alt input.

Og helst med whitelisting ikke blacklisting.

Altsaa ikke:

if data has bad stuff 1 or data has bad stuff 2 then
reject
else
accept
end if

men:

if data is good then
accept
else
reject
end if

(saa regex paa hvad der er OK - ikke regex paa hvad der ikke er OK)

3) real data model.

Brug en rigtig data model med klasser med attributter i.s.f. bare at have nogle CLOB's.

Det vil udover at give bedre kode ogsaa som sideeffekt filtrere noget snavs fra i tilfaelde af at noget er kommet igennem #2.

4) security on output

Escape output for at forhindre malicious data.

Bare i tilfaelde af at noget slipper igennem #2 og #3.

Synes godt om

dustie Mester

28. februar 2017 - 00:40 #3

Jeg havde håbet på lidt mere input, evt. mere specifikke ting omkring PHP7 og 2017. Eller er alt som i 2015 og PHP 5?

Synes godt om

arne_v Ekspert

28. februar 2017 - 01:05 #4

Jeg synes ikke lige at noget her:

http://php.net/manual/en/migration70.new-features.php

springer i oejnene.

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Flere spørgsmål fra PHP kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Adgang til vandaflæsningsdata Af nemlig i PHP	3	22/04/202422:04	23/04/202416:52
Vælg post rækkefølge Af Mojo_dk i PHP	3	06/04/202418:40	07/04/202412:20
Hjælp til PHP Af Friis77 i PHP	5	11/02/202419:58	12/02/202407:55
Total antal records med undtagelse Af uac i PHP	5	09/02/202414:55	09/02/202415:30
Delete form Af lefsa62 i PHP	1	29/01/202412:40	29/01/202412:41

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS