TIP: Use Markdown or, <pre> for multi line code blocks / <code> for inline code.
These forums are read-only and for archival purposes only!
Please join our new forums at discourse.kohanaframework.org
Безопасность, XSS фильтрация и т.д.
  • Хотелось бы узнать, какие основные меры нужно принимать для обеспечивании безопасности. Ну, понятное дело, все данные формы через htmlspecialchars (). Хотелось бы узнать, какие средства уже встроены в фреймворк. В том же кодингатере, можно указать, чтобы все приходящее с форм пропускалось через xss_clean(). В текущей версии не нашел даже такой функции, в более ранней xss_clean() просто вызывала тот же htmlspecialchars (). И, насколько я понимаю, запрос к БД через ОРМ уже проходит addslashes() и тому подобное? Пока это всё, но по ходу, вероятно, возникнет еще пара вопросов безопасности.

  • Вот, что указано в документации по поводу XSS:

    XSS can only be triggered when it is displayed within HTML content, sometimes via a form input or being displayed from database results. Any global variable that contains client information can be tainted. This includes $_GET, $_POST, and $_COOKIE data.

  • Ну это я знаю. Поэтому и интересуюсь. Спрашивается, чем фильтровать? Например, PHPFuel юзает стороннюю библиотеку htmllawed для очистки от подобной чепухи. В Кохане есть встроенные средства (я не нашел) или нужны сторонние библиотеки?

  • по той же ссылке но чуть дальше прочесть не пробовали?

  • самый простой вариант это поставить bbcode редактор, проще всего фильтровать будет

  • есть еще модуль для kohana https://github.com/shadowhand/purifier

  • Ну фильтровать-то все равно надо. И, кстрати, встречал инекцию в bbCode. Если найду, то покажу как выглядит.

  • Может и не найду, изящно выглядела. Там чередовались открывающиеся [ какиетотеги потом > дальше наоборот < .... ] Что-то типа такого.

  • @ekkl в bbcode вырезаются все теги ><

  • А этого достаточно? А если так [b onmouseover=...]text[/b]

  • @ekkl http://www.wysibb.com/ вот допустим для клиентской части функционала в редакторе выше крыши и никаких [b onmouseover=...]text[/b], нечего баловать народ

  • Очистка данных была вынесена в фильтры валидации, насколько помню (и добавлять ее надо было вручную). Еще стоит помнить о csrf-токенах. Запросы к БД от QBuilder и ORM экранируются, да.

Howdy, Stranger!

It looks like you're new here. If you want to get involved, click one of these buttons!

In this Discussion