01/10/2018, 15:29
Có cần xử lý script comment trước khi lưu vào database
ACE cho mình hỏi có cần phải xử lý cái comment chứa tag script trước khi lưu vào database không? nếu không xử lý thì có tiềm ẩn nguy cơ gì?
Bài liên quan
có vẻ liên quan đến cái này, bác có thể tham khảo thêm :
SEPTENI TECHNOLOGY Developer's Blog
Tìm hiểu về lỗ hổng Cross-Site Scripting
Tiếp nối loạt bài về Security, hôm nay chúng ta sẽ cùng nhau tìm hiểu về lỗ hổng Cross-Site Scripting. 1. Cross-site Scripting là gì? Cross-site scripting là một lỗ hổng phổ biến trong ứng dụng web. Để khai th...
Series Bảo Mật Nhập Môn – Lỗ hổng bảo mật XSS nguy hiểm đến mức nào?
Giới thiệu về XSS XSS (Cross Site Scripting) là một lỗi bảo mật cho phép hacker nhúng mã độc (javascript) vào một trang web khác. Hacker có thể lợi dụng mã độc này để deface trang web, cài keylog, …
Sẽ không có chuyện gì xảy ra nếu website không sử dụng việc đăng nhập có sử dụng đến cookies, session. Còn nếu có sử dụng mấy cái đó, cách đơn giản nhất là dùng các thư viện strip html tag người ta viết sẵn để sử dụng, việc tự viết lấy khá khó khăn. Tìm kiếm với các từ Sanitize, Sanitation HTML Input để có thư viện được cài đặt với ngôn ngữ lập trình server side đang dùng.
hi, thank for SANITIZE key word, this is only my needing
Theo tui test thì trang daynhauhoc nhà ta có lưu
<script>vào database nhưng khi view ra thì sanitize cái dữ liệu đó.Bằng chứng là khi edit thấy vẫn còn dòng tag
Vậy câu trả lời là có thể lưu dữ liệu thô của user nhưng khi view ra phải cẩn thận, phải sử dụng sanitize…
any idea?