Javascript 我应该采取什么步骤来保护我的站点不受脚本注入的影响?
大家好 作为javascript攻击和所有其他类型的攻击预防和护理的新手,我希望了解如何使我的网站更安全地抵御攻击 我们正在推出一个新的网站,它是在阿拉伯语(utf8)。在我们的网站上有一个输入框,它从用户那里获取一个搜索字符串,并显示这个字符串和结果。这个字符串也被插入到我们的mysql数据库中,以跟踪人们在搜索什么 我在后端所做的是在搜索字符串上放置strip_标记、mysql_real_escape_字符串。我尝试在输入搜索字符串上使用javascript的转义函数,但这完全弄乱了阿拉伯语文本,无法使用此字符串在后端搜索,甚至无法在前端显示搜索到的字符串。在前端或后端,我还能做些什么,使网站更安全,不受攻击 谢谢你Javascript 我应该采取什么步骤来保护我的站点不受脚本注入的影响?,javascript,security,xss,Javascript,Security,Xss,大家好 作为javascript攻击和所有其他类型的攻击预防和护理的新手,我希望了解如何使我的网站更安全地抵御攻击 我们正在推出一个新的网站,它是在阿拉伯语(utf8)。在我们的网站上有一个输入框,它从用户那里获取一个搜索字符串,并显示这个字符串和结果。这个字符串也被插入到我们的mysql数据库中,以跟踪人们在搜索什么 我在后端所做的是在搜索字符串上放置strip_标记、mysql_real_escape_字符串。我尝试在输入搜索字符串上使用javascript的转义函数,但这完全弄乱了阿拉伯语
Imran我强烈建议不要在客户端进行任何形式的转义。您不能依赖于转义实际发生的事实,这是因为恶意用户可以修改其端的脚本以绕过转义,也因为较旧的浏览器(或带有脚本阻止程序的浏览器)可能最终阻止脚本运行。作为一般规则,永远不要信任来自客户端的任何数据,即使您已经在客户端对其进行了清理 您在服务器端所做的事情似乎是出于好意。如果没有更多的代码访问权限,我认为我们无法确认您是否正确使用了这些函数,但您至少在正确的轨道上使用了它们
顺便说一句,祝你网站好运 您可以通过更改设计来避免问题。
保持输入框不变,并且不要在结果中返回搜索字符串
对于存储在数据库中的列表,只要不在网页中向用户显示,脚本注入就没有风险。同意。在数据到达服务器之前,可以从中获得任何信息。黑客可能比反黑客聪明得多,所以当心lol。