Diskuse:Cross-site scripting

Toto není XSS!!! Článek je chybný! To co popisuje toto heslo je spíš Remote File Inclusion! XSS je jen a pouze ten javascript - a nemusí se zadávat zrovna přes URL (i když to jde také), často se do stránek dostává neošetřeným vstupem/s obrázkem atd.

Jdu to přepsat :-) --Splite 16:17, 22. 8. 2007 (UTC)

EDIT: Zhruba přepsáno, ještě to jednou zreviduju a pohraju si s jazykem, teď není čas... --Splite 18:17, 22. 8. 2007 (UTC)

Kapitola „Účinný příklad obrany v jazyce PHP“ je zcela v rozporu s bezpečnostními požadavky

Nejnovější komentář: před 4 lety1 komentář1 člověk v diskusi

V Kapitole „Účinný příklad obrany v jazyce PHP“ článku je ukázka funkcí htmlspecialcharsRecursive($val) a fixSuperglobals(), které jsou ale naprosto nesprávné, vytváří vývojové prostředí, v němž nebude možné rozumně napsat správně zabezpečenou aplikaci. Navrhuji tento odstavec odstranit bez náhrady, případně místo něho dát nějaký článek popisující správný návrh, např.: Escapování – definitivní příručka od autora Davida Grudla.

Důvod: Uvedený kód nerespektuje kontext, v němž jsou pak proměnné používány. Tedy uvedené metody způsobí, že aplikace je bezpečná pouze při použití v HTML, ale nikoliv v JS, nebo SQL databázi. takto escapované hodnoty tedy není možné strojově zpracovat, protože tato data jsou již poškozena a je nutné data zpětně od-escapovat a po úpravě opět zaescapovat. To neúměrně zvyšuje komplexitu aplikace a současně to narušuje zdánlivou integritu bezpečnosti, které měly shora popsané funkce htmlspecialcharsRecursive($val) a fixSuperglobals() nastolit. --Jakub Bouček (diskuse) 4. 3. 2020, 23:40 (CET)Odpovědět

Doplnil jsem značku Celkově zpochybněno

Nejnovější komentář: před 3 lety1 komentář1 člověk v diskusi

Dovolil jsem si na stránku doplnit značku Celkově zpochybněno, viz moje argumentace výše - domnívám se, že je to celé špatně a rady jsou více škodlivé, než užitečné. --Jakub Bouček (diskuse) 27. 8. 2020, 22:31 (CEST)Odpovědět