01/10/2018, 15:29

Có cần xử lý script comment trước khi lưu vào database

ACE cho mình hỏi có cần phải xử lý cái comment chứa tag script trước khi lưu vào database không? nếu không xử lý thì có tiềm ẩn nguy cơ gì?

Đoàn Trọng Hiếu viết 17:43 ngày 01/10/2018

có vẻ liên quan đến cái này, bác có thể tham khảo thêm :

SEPTENI TECHNOLOGY Developer's Blog

Tìm hiểu về lỗ hổng Cross-Site Scripting

Tiếp nối loạt bài về Security, hôm nay chúng ta sẽ cùng nhau tìm hiểu về lỗ hổng Cross-Site Scripting. 1. Cross-site Scripting là gì? Cross-site scripting là một lỗ hổng phổ biến trong ứng dụng web. Để khai th...


Từ coder đến developer - Tôi đi code dạo – 17 Oct 16

Series Bảo Mật Nhập Môn – Lỗ hổng bảo mật XSS nguy hiểm đến mức nào?

Giới thiệu về XSS XSS (Cross Site Scripting) là một lỗi bảo mật cho phép hacker nhúng mã độc (javascript) vào một trang web khác. Hacker có thể lợi dụng mã độc này để deface trang web, cài keylog, …

Vô Thin viết 17:44 ngày 01/10/2018

Sẽ không có chuyện gì xảy ra nếu website không sử dụng việc đăng nhập có sử dụng đến cookies, session. Còn nếu có sử dụng mấy cái đó, cách đơn giản nhất là dùng các thư viện strip html tag người ta viết sẵn để sử dụng, việc tự viết lấy khá khó khăn. Tìm kiếm với các từ Sanitize, Sanitation HTML Input để có thư viện được cài đặt với ngôn ngữ lập trình server side đang dùng.

Thuc Nguyen Tan viết 17:33 ngày 01/10/2018

hi, thank for SANITIZE key word, this is only my needing

Thuc Nguyen Tan viết 17:34 ngày 01/10/2018

Theo tui test thì trang daynhauhoc nhà ta có lưu <script> vào database nhưng khi view ra thì sanitize cái dữ liệu đó.

Bằng chứng là khi edit thấy vẫn còn dòng tag

Vậy câu trả lời là có thể lưu dữ liệu thô của user nhưng khi view ra phải cẩn thận, phải sử dụng sanitize…

any idea?

Bài liên quan
0