ȥå   Խ ʬ Хåå ź ʣ ̾ѹ   ñ측 ǽ   إ   ǽRSS

XSS ѹ

Top / XSS

*狼䤹PHPΥȥץƥ(XSS) [#Cross_Site_Scripting]

*ȥץƥ꤬ɤΤ褦ʤΤ [#v179e50c]
-桼ǤդϤǽʾ硢ɽͳ˲Ѥǽ롣
--Ǥ⿮ѤפʥȤǤ̿Ū
-JavascriptλѤǽȤʤ뤿ᡢåǽˤʤ롣
--̾ϼǤʤǽˡ
---åͳƥåIDʤɤǽ롣
--¾ȤؤΥŪ˹Ԥ˻Ѥ뤳Ȥ⤢롣

* [#zf2fc26a]
-桼ӳϤѤƤϤʤ
-äƥ桼ӳϤ򤽤ΤޤɽƤϤʤ
-ǽǤ򼰤ˤ롣ѰդͤˤƤϤƻѤ롣
-ǿåѲ뤳Ȥ򤷾Ԥ
-ñкˡǤϤʤHTMLJavascriptXSSᥫ˥ȤкˡȤͳ򤭤İ롣

*кˡ [#gde4e738]
-ˡꤹ롣
--ͳ:ͳǤϤʤޤäեޥåȤΤߤĤHTMLJavascriptɤ
--: 1977/08/18פʤɷޤäϤǤ뤫å뤿ṶȤʤ븶ʤ
-ɽˡꤹ롣
--ͳ:ͳʥƥϤĤ̾HTMLʸ(HTMLǤ)Τߤ˻Ѥ롣ä˲Τ褦ʥǤ򤱤롣(Javascriptμ¹Ԥ֥饦ˤäƤϲǽȤʤ뤿ᡣ)
---style  script ˳Ϥ
---°ʬ˳ѿ
-󥳡ɤSJISѤʤ(UTF-8򶯤侩)
--ͳ:ޥХʸ򰷤Զ̷¿¿ʸ󥳡ɤǤ뤿ᡣ
--:Ȥˤ¿SJIS˵Ǥ롣
-ϤνϤˤɬhtmlspecialcharsʤɤΥ׽Ԥ(ܺ٤ϥޥ˥奢dzǧ http://bit.ly/9PCb3Y)
--ͳ:HTMLJavascriptμ¹Ԥ򤹤뤿ˡHTMLǻѤʸHTMLȤƤɽʤ褦ˡüʸ HTML ƥƥѴ
-htmlspecialchars ENT_QUOTES() ӡʸɻ(軰)ɬԤ
--ͳ:ENT_QUOTESϡ֥󥰥륯Ȥȥ֥륯Ȥ򶦤Ѵޤסꤷʤ祷󥰥륯ȤѴޤ(ޥ˥奢뻲)
---ꤹ֤դ븶ˤʤꡢΨʤἫؿǴñ˼¹ԤǤ褦פ롣([[CakePHPhؿ>http://api13.cakephp.org/view_source/basics.php]])

    ///CakePHPhؿ
    function h($text, $charset = null) {
  		if (is_array($text)) {
  			return array_map('h', $text);
  		}
  		
  		/*
    		if (empty($charset)) {
    			$charset = Configure::read('App.encoding'); //եǤʸɻɤ߹ߡ㤦ĶǤɤ߹ߤʤ
    		}
  		*/
  		
  		if (empty($charset)) {
  			$charset = 'UTF-8';
  		}
  		return htmlspecialchars($text, ENT_QUOTES, $charset);
	  }
  

*äȤʤ [#g53e269a]
 $_SERVER['HTTP_USER_AGENT'];
ʤɤΥ֥饦Υ桼Ȥ桼ͳѹǤ뤿XSSкɬפǤ


*ͤˤĺ [#o91cc071]
-[[PHP  Web ץꥱΥƥˤĤƤΥ>http://www.asahi-net.or.jp/~wv7y-kmr/memo/php_security.html#XSS]]
-[[XSSкˤĤƤޤȤ褦 - XSS - ݹ>http://www.tokumaru.org/d/20080822.html]]
-[[htmlspecialcharsShift_JISåϳˤXSS>http://www.tokumaru.org/d/20091009.html]]

//*(ոŦĺȹǤ) [#o44f3db3]

//#comment()