Ist htmlentities() kugelsicher?

Question

Ich fragte mich über die Sicherheit der Verwendung der PHP-Funktion htmlentities() gegen XSS-Angriffe und vielleicht verwandte Funktionen wie htmlspecialchars.

vielen Dank :)

Answer 1

Sie explizit richtige Codierung (z: utf-8) angeben müssen, Chris hatte einen Beitrag, wie man injiziert Code sogar Aufruf htmlentities ohne entsprechende Codierung.

http://shiflett.org/blog/2005/dec/google-xss-example

Answer 2

Es ist nicht kugelsicher, spart man nie 100%. Sie müssen sich daran erinnern, dass der Entwickler für die Sicherheit verantwortlich ist. Sprachen bieten einen guten Teil von Sicherheitsfunktionen, und mehr noch, es liegt am Entwickler, wie sie ihre Site sichern, ob sie Whitelist-Ansatz oder Blacklist-Ansatz verwenden. Wenn Hmtentities alles wäre, hätten Frameworks wie Codeigniter, Kohana und mehr nicht ihre eigenen großen Sicherheitsfunktionen entwickelt.

Das Wichtigste ist, alle Eingaben, die vom Benutzer kommen, zu sanieren und zu filtern.

Answer 3

Nein, Funktionen wie htmlspecialchars und htmlentities schützen nicht vor allen Fällen von Cross-Site Scripting.

Fälle, in denen diese Funktion nicht helfen:

• Die Daten ausnutzen den Server nicht erreichen (DOM-basierte XSS).
• Die Exploit-Daten werden nicht nur im HTML-Kontext interpretiert, und die von diesen Funktionen codierten Sonderzeichen sind not required oder not the only ones that are special in the corresponding context.

Besonders der letztere Grund wird oft vermisst. Es gibt viele Beispiele in der OWASP’s XSS Prevention Cheat Sheet für, wo eine Injektion in einem HTML-Dokument auftreten kann. Aber nicht alle erfordern einen der HTML-Sonderzeichen, um JavaScript-Code zu injizieren und auszuführen.