سلام دوستان
یه سیستم دارم درست میکنم که فرمهای زیادی توش به کار رفته. توی w3school و سایتای دیگه یه راه حل برای امن کردن فرم ها بدون فیلتر و استفاده از توابعی مثل addslash و trim معرفی کرده بودن که استفاده از تابع htmlspecialcahrs و نسبت دادنش به خود فایل با PHP_SELF در action فرم بود. خواستم بدونم همین تابع کار توابع بالا و فیلترها رو انجام میده یا نقاط ضعفی داره که باید پوشش داده بشه.
ممنون از راهنماییتون
addslash :
http://securityidiots.com/Web-Pentest/SQL-Injection/addslashes-bypass-sql-injection.html
http://stackoverflow.com/questions/16565189/can-addslashes-be-bypassed-when-using-utf-and-single-quotes
http://shiflett.org/blog/2006/jan/addslashes-versus-mysql-real-escape-string
htmlspecialchars:
https://www.exploit-db.com/papers/13646
https://shawarkhan.com/bypassing-htmlspecialchars-and-executing-xss/
قوانین ایجاد تاپیک در تالار
پاسخ با نقل قول