Написать функцию, которая бы защищала сайт от XSS и SSI атак

@Николай4ик · Регистрация: 06.04.2022

Студворк — интернет-сервис помощи студентам

Здравствуйте. Поставили задачу написать функцию, которая бы защищала сайт от XSS и SSI атак. Предложенные варианты простой обработки через функции htmlentities и ей подобными не подходят, потому что "нужно что-то посерьёзнее".
Есть у кого идеи?

@firatov · 06.04.2022, 14:39

PHP
1
$noPHPEval = str_ireplace(['<?', '<?php'], '', $string);

@Николай4ик · 06.04.2022, 14:43 **[ТС]**

firatov, а для массивов GET это подойдет?

@firatov · 06.04.2022, 14:56

И get и post и всё что только угодно

PHP
1
2
3
4
5
6
7
8
function fiVar($name, $filter = FILTER_DEFAULT,  $options = 0) {
    return filter_input($_SERVER["REQUEST_METHOD"]=="POST" ? INPUT_POST : INPUT_GET, $name, $filter, $options);
}
 
$code = fiVar('byCode', FILTER_SANITIZE_FULL_SPECIAL_CHARS);
$code = str_ireplace(['&lt;?php', '&lt;?'], '', $code);
 
var_dump($code);

https://www.php.net/manual/ru/... nitize.php
https://www.php.net/manual/ru/... -input.php

@Николай4ик · 06.04.2022, 15:16 **[ТС]**

firatov, прошу прощения, но я не могу понять что тут происходит

Можете пояснить, пожалуйста, "byCode" это тот текст/, который проверяется фильтром в данной ситуации?

Сейчас, при выполнении, выводит это string(0) ""

@firatov · 06.04.2022, 15:24

Сообщение от Николай4ик

Можете пояснить, пожалуйста, "byCode" это тот текст/, который проверяется фильтром в данной ситуации?

Это имя переменной GET или POST. Значение которого будет извлечено, и подвержено очищающему фильтру FILTER_SANITIZE_FULL_SPECIAL_CHARS

Если данной переменной нету в POST или GET то функция fiVar вернёт NULL

@websyst_ru · 06.04.2022, 15:32

Сообщение от Николай4ик

нужно что-то посерьёзнее

Сами вы такое не сделаете, но это могут сделать для вас специальные расширения из семейства safeHTML

@Николай4ик · 06.04.2022, 16:45 **[ТС]**

firatov, можете подсказать что я делаю не так, пожалуйста?

PHP
1
2
3
4
5
6
7
8
9
10
11
$source = array("foo", "bar", "hallo", "world");
 
function fiVar($name, $filter = FILTER_DEFAULT,  $options = 0)
{
    return filter_input($_SERVER["REQUEST_METHOD"] == "POST" ? INPUT_POST : INPUT_GET, $name, $filter, $options);
}
 
$code = fiVar('source', FILTER_SANITIZE_FULL_SPECIAL_CHARS);
$code = str_ireplace(['&lt;?php', '&lt;?'], '', $code);
 
var_dump($code);

Добавлено через 10 минут
websyst_ru, мне вполне подойдет то, что пишет firatov, но я не очень силен в работе с массивами и их обработкой. А то что Вы прислали это... Слишком громоздко...

@Jewbacabra · 06.04.2022, 17:10

Сообщение от Николай4ик

"нужно что-то посерьёзнее"

Классная причина.

@Николай4ик · 06.04.2022, 17:33 **[ТС]**

Jewbacabra, мол, эта функция уже не актуальна (устарела)

@Para bellum · 06.04.2022, 17:43

Либо вы что-то перепутали (это SSI, кстати, уже не используют), либо перестаньте общаться с тем человеком на тему программирования, раз у него сложности с этим.

@Jewbacabra · 06.04.2022, 17:55

Сообщение от Николай4ик

эта функция уже не актуальна (устарела)

Эта функция актуальна.

@Николай4ик · 06.04.2022, 18:48 **[ТС]**

Para bellum, Jewbacabra, просто нужно именно через фильтры

@Htext · 07.04.2022, 18:23

Сообщение от firatov

$noPHPEval = str_ireplace(['<?', '<?php'], '', $string);

Сообщение от Jewbacabra

Эта функция актуальна.

Я бы не сказал:

PHP
1
$string = '<<??';

Добавлено через 2 минуты

Сообщение от Para bellum

это SSI, кстати, уже не используют

Вполне использую.

@Jewbacabra · 07.04.2022, 18:42

Сообщение от Htext

Я бы не сказал:

И тем не менее функция htmlentities не объявлена deprecated, то что от нее требуется отлично выполняет, и будет выполнять. Вот только многие не умеют ей пользоваться, но ведь это не проблема данной функции.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .	SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .	SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .

@Николай4ик 0 / 0 / 0 Регистрация: 06.04.2022 Сообщений: 15

	Написать функцию, которая бы защищала сайт от XSS и SSI атак 06.04.2022, 13:05. Показов 1417. Ответов 14 Метки js, php, security (Все метки) Здравствуйте. Поставили задачу написать функцию, которая бы защищала сайт от XSS и SSI атак. Предложенные варианты простой обработки через функции htmlentities и ей подобными не подходят, потому что "нужно что-то посерьёзнее". Есть у кого идеи? 0

@Николай4ик 0 / 0 / 0 Регистрация: 06.04.2022 Сообщений: 15
	06.04.2022, 14:43 [ТС]
	firatov, а для массивов GET это подойдет? 0

@Николай4ик 0 / 0 / 0 Регистрация: 06.04.2022 Сообщений: 15
	06.04.2022, 15:16 [ТС]
	firatov, прошу прощения, но я не могу понять что тут происходит Можете пояснить, пожалуйста, "byCode" это тот текст/, который проверяется фильтром в данной ситуации? Сейчас, при выполнении, выводит это `string(0) ""` 0

@Николай4ик 0 / 0 / 0 Регистрация: 06.04.2022 Сообщений: 15
	06.04.2022, 17:33 [ТС]
	Jewbacabra, мол, эта функция уже не актуальна (устарела) 0

@Para bellum 5755 / 4134 / 1508 Регистрация: 06.01.2011 Сообщений: 11,276
	06.04.2022, 17:43
	Либо вы что-то перепутали (это SSI, кстати, уже не используют), либо перестаньте общаться с тем человеком на тему программирования, раз у него сложности с этим. 0

@Николай4ик 0 / 0 / 0 Регистрация: 06.04.2022 Сообщений: 15
	06.04.2022, 18:48 [ТС]
	Para bellum, Jewbacabra, просто нужно именно через фильтры 0