سوال: یک سوال از ANTI-CROSS Site Scripting Library [بایگانی]

View Full Version : سوال: یک سوال از ANTI-CROSS Site Scripting Library

RoostaYeBekr

شنبه 23 آذر 1387, 23:48 عصر

با سلام

در قسمتی از توضیحات برنامه ی ANTI-CROSS Site Scripting Library گفته که متد اول ، به شکل غیر صحیح نوشته شده . ولی متد دوم به شکل صحیح نوشته شده . علتش را اصلا متوجه نشدم . کسی علتش را می داند؟
ممنون.
http://www.sleezo.com/imgs/2008/dec/13/yyyj.png

RoostaYeBekr

یک شنبه 24 آذر 1387, 16:51 عصر

با سلام
ببخشید یک مطلب کوچک دیگر هم بگویم که این نرم افزاری که می گم ، به این دلیل گفته بود که اون متد اول ، غیر صحیح است ، چون امنیت را تامین نمی کند. به هر حال من نمی دانم که واقعا چه مشکلی توی متد اول وجود دارد که این را می گوید. ( منظور اینکه به خاطر اینکه برنامه اش اجرا نمی شود ، نیست )

milade

یک شنبه 24 آذر 1387, 17:14 عصر

خوب قشنگتره ، بهتره ، کم حجمتره !
_____________________________
شوخی کردم!فکر کنم به خاطر اینه که ممکنه decode بشه
(بابا وللش دیگه مشکل حل شده با نسخ جدید D:)
موفق باشید

RoostaYeBekr

یک شنبه 24 آذر 1387, 20:12 عصر

خوب قشنگتره ، بهتره ، کم حجمتره !
_____________________________
شوخی کردم!فکر کنم به خاطر اینه که ممکنه decode بشه
موفق باشید

شما می گین :

به خاطر اینه که ممکنه decode بشه

قطعا به خاطر همینه . این رو من می دونم . ولی چرا ؟

بعد ببین می دونم فکر کردید ، سوال بی خودیه . ولی اگر یک کم فکر کنید ، می بینید که مهمه .

raminsoft

یک شنبه 24 آذر 1387, 23:22 عصر

(بابا وللش دیگه مشکل حل شده با نسخ جدید D:)
موفق باشید

منظورتان از اینکه حل شده چیه؟ توی نسخه خاصی حل شده است؟ یا ...؟

babakj

دوشنبه 25 آذر 1387, 01:53 صبح

بله کاملا درسته متد اول کاملا غلط می باشد .
ببینید Anti-Xss فقط برای نمایش دیتا در روی UI می باشد
پس لزومی نداره که قبل از نمایش که می خواهیم روش Process انجام بدهیم اعمال کنیم
اون خطی هم که کامنت گرفته شده برای همینه

/// Process input

...

و موقعی که می خواهی روی صفحه نمایش بدی حالا زمان انجام کنترل کردن مقدار هست

اون چیزی که باید قبل از پروسس کنترل بشه برای جلوگیری از SQL Injection هست .
و هنگام نمایش Anti-XSS