Como muitos tutoriais só ensinam a atacar, resolvi fazer diferente para mudar a rotina, e ajudar programadores desinformados, que são explorado por scripts kiddies que ficam o dia inteiro na internet buscando formas de prejudicar o próximo, só para ganhar fama, e aparecer em jornais.
Cross-site scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que activam ataques maliciosos ao injectarem client-side script dentro das páginas web vistas por outros usuários. Um script de exploração de vulnerabilidade cross-site pode ser usado pelos atacantes para escapar aos controlos de acesso que usam a mesma política de origem.
Muitos para evitar essa falha desabilitam o java script do navegador(client side), sendo que essa falha pode ser evitada com uma só função, onde o administrador de um site, injeta a faunção addslashes(), para escapar caracteres especiais em uma string.
PS: além do addslashes existe uma função pronta no php.ini, chamada get_magic_quotes_gpc(), quando ativada ela executa o addslashes em todos os dados de GET,POST.
Lembrando que quando o get_magic_quotes_gpc() estiver on, não precisa escapar as strings com o addslashes()!
[ame]http://www.youtube.com/watch?v=f8_30DT0kV8[/ame]
Cross-site scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que activam ataques maliciosos ao injectarem client-side script dentro das páginas web vistas por outros usuários. Um script de exploração de vulnerabilidade cross-site pode ser usado pelos atacantes para escapar aos controlos de acesso que usam a mesma política de origem.
Muitos para evitar essa falha desabilitam o java script do navegador(client side), sendo que essa falha pode ser evitada com uma só função, onde o administrador de um site, injeta a faunção addslashes(), para escapar caracteres especiais em uma string.
PS: além do addslashes existe uma função pronta no php.ini, chamada get_magic_quotes_gpc(), quando ativada ela executa o addslashes em todos os dados de GET,POST.
Lembrando que quando o get_magic_quotes_gpc() estiver on, não precisa escapar as strings com o addslashes()!
[ame]http://www.youtube.com/watch?v=f8_30DT0kV8[/ame]
Comment