Avatar billede dustie Mester
14. februar 2017 - 16:07 Der er 3 kommentarer og
1 løsning

Beskyttelse mod XXS, CSRF m.m. i 2017 [PHP 7+]

Hej eksperter.

Jeg kunne godt tænke mig at høre jeres bud på hvad der er best practice til at beskytte imod skidt ind og ud. Hvad gør man ved modtagelse af input og ved visning af det senere? Her et tænkt eksempel der ikke skal lukke html o.l. helskindet gennem input og som allerede bruger prepared statement via PDO eller bruger f.eks. Doctrine DBAL.

Der findes et hav af information på nettet (men intet på eksperten?), men det kræver en skovl at grave sig gennem skidt og kanel, så forhåbentligt kommer der nogle gode bud her på "den rette måde" eller links til noget der ikke er ren skidt og kanel.

Tak! : )
Avatar billede dustie Mester
14. februar 2017 - 16:23 #1
XXS/XSS....
Avatar billede arne_v Ekspert
14. februar 2017 - 16:30 #2
Det er jo et meget bredt spoergsmaal.

Jeg vil anbefale et forsvar i dybden.

1) convenience (som ikke er securityr, men netop kun convenience)

Lav noget client side JavaScript som checker om input er valid og informerer bruger hvis det ikke er - uden at ramme server side.

2) security on input

Check alt input.

Og helst med whitelisting ikke blacklisting.

Altsaa ikke:

if data has bad stuff 1 or data has bad stuff 2 then
    reject
else
    accept
end if

men:

if data is good then
    accept
else
    reject
end if

(saa regex paa hvad der er OK - ikke regex paa hvad der ikke er OK)

3) real data model.

Brug en rigtig data model med klasser med attributter i.s.f. bare at have nogle CLOB's.

Det vil udover at give bedre kode ogsaa som sideeffekt filtrere noget snavs fra i tilfaelde af at noget er kommet igennem #2.

4) security on output

Escape output for at forhindre malicious data.

Bare i tilfaelde af at noget slipper igennem #2 og #3.
Avatar billede dustie Mester
28. februar 2017 - 00:40 #3
Jeg havde håbet på lidt mere input, evt. mere specifikke ting omkring PHP7 og 2017. Eller er alt som i 2015 og PHP 5?
Avatar billede arne_v Ekspert
28. februar 2017 - 01:05 #4
Jeg synes ikke lige at noget her:

http://php.net/manual/en/migration70.new-features.php

springer i oejnene.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Vi tilbyder markedets bedste kurser inden for webudvikling

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester