Javascript Html中的转义
我需要使我的代码从XSS中安全,到目前为止我发现我必须逃避html 我知道我必须避免以下情况:Javascript Html中的转义,javascript,html,security,escaping,Javascript,Html,Security,Escaping,我需要使我的代码从XSS中安全,到目前为止我发现我必须逃避html 我知道我必须避免以下情况: < < > > ( ( ) ) # # & & " " < > ( ( ) ) # # &&; " " 我在代码中更改了上述字符,但代码在浏览器上显示为字符串,我不知道从何处转义,基本上也不
< <
> >
( (
) )
# #
& &
" "
<
>
( (
) )
# #
&&;
" "
我在代码中更改了上述字符,但代码在浏览器上显示为字符串,我不知道从何处转义,基本上也不知道如何转义才能正常工作,有人能帮忙吗?您应该注意SQL注入以及服务器本身的安全问题(如PHP、webserver等)。因此,您应该始终注意软件是最新的,通过使用PDO和参数化查询来防止SQL注入是很容易的。您应该注意SQL注入以及服务器本身的安全问题(如PHP、webserver等)。因此,您应该始终注意软件是最新的,并且通过使用PDO和参数化查询来防止SQL注入是很容易的。您说的是输入字段,但这并不重要。你看,在PHP中没有决定的任何事情都会受到用户的影响。考虑到这一点,我现在谈论的是
ajax
调用和routing
例如,您是否使用用户友好的URL?在这种情况下,您可能会通过数据库路由url?那么这和输入没有什么不同。任何$\u GET
或$\u POST
都是一个漏洞。由于用户可能会影响这些请求,因此您必须始终逃避从这些请求中获得的任何内容
这意味着一个ajax调用,您可以通过$\u-GET
或$\u-POST
发送数据,也可以通过基本上说(也就是$\u-GET
)index.php?page=pagename
的路由发送数据
这将导致
$\u GET['page']
,如果要通过数据库,则应将其转义。您说的是输入字段,但这并不重要。你看,在PHP中没有决定的任何事情都会受到用户的影响。考虑到这一点,我现在谈论的是ajax
调用和routing
例如,您是否使用用户友好的URL?在这种情况下,您可能会通过数据库路由url?那么这和输入没有什么不同。任何$\u GET
或$\u POST
都是一个漏洞。由于用户可能会影响这些请求,因此您必须始终逃避从这些请求中获得的任何内容
这意味着一个ajax调用,您可以通过$\u-GET
或$\u-POST
发送数据,也可以通过基本上说(也就是$\u-GET
)index.php?page=pagename
的路由发送数据
这将导致
$\u GET['page']
,如果您让它通过数据库,则应将其转义。外部用户可以直接访问您的数据库吗?如果是这样的话,他们可能能够强制使用db密码(攻击者第一次尝试将使用默认密码),并从那里完全控制托管您网站的计算机。见和。不能从公共internet直接访问您的数据库
通常,您应该查看哪些端口是打开的,使用。只打开所需的最小端口。任何其他端口都可能为攻击者打开一扇门。如果攻击者在您的系统上获得了一个外壳,他可能可以做任何他想做的事情:关闭您的系统,托管垃圾,插入后门,在您登录时获取您的密码,以及许多其他邪恶的东西。例如,一名白帽子黑客在facebook网络上获得了外壳访问权,并发现了一个用于恢复该系统上员工密码的后门(即,一些黑帽子在他之前到达那里并做了一些邪恶的事情)
你网站的托管软件怎么样?它是最新的吗?在过时的PHP系统中有很多漏洞,黑客喜欢利用这些漏洞,使他们能够访问shell
最后,您如何登录到您的网站以更新内容?是通过VPN吗?它需要双重认证吗?否则,攻击者可能只需以与您相同的方式访问网站的管理内容,并强行输入您的密码。哎哟 外部用户可以直接访问您的数据库吗?如果是这样的话,他们可能能够强制使用db密码(攻击者第一次尝试将使用默认密码),并从那里完全控制托管您网站的计算机。见和。不能从公共internet直接访问您的数据库 通常,您应该查看哪些端口是打开的,使用。只打开所需的最小端口。任何其他端口都可能为攻击者打开一扇门。如果攻击者在您的系统上获得了一个外壳,他可能可以做任何他想做的事情:关闭您的系统,托管垃圾,插入后门,在您登录时获取您的密码,以及许多其他邪恶的东西。例如,一名白帽子黑客在facebook网络上获得了外壳访问权,并发现了一个用于恢复该系统上员工密码的后门(即,一些黑帽子在他之前到达那里并做了一些邪恶的事情) 你网站的托管软件怎么样?它是最新的吗?在过时的PHP系统中有很多漏洞,黑客喜欢利用这些漏洞,使他们能够访问shell
最后,您如何登录到您的网站以更新内容?是通过VPN吗?它需要双重认证吗?否则,攻击者可能只需以与您相同的方式访问网站的管理内容,并强行输入您的密码。哎哟 XSS和SQL注入是Google需要的术语。ssh/sftp/ftp/webserver/(linux/windows/bsd)/防火墙安全:3可能您有开放的mysql端口或默认的mongodb匿名访问安装(例如)XSS和SQL注入是Google需要的术语。ssh/sftp/ftp/webserver/(linux/windows/bsd)/防火墙安全性:3也许你有开放的mysql端口或默认的mongodb安装匿名访问(例如)我想注意,原来的问题已经被编辑为turn I