标签:php cookies security code-injection sanitization
假设我们有一个网站询问用户他的名字.
然后,网站将此值存储在cookie中,并在下一页上通过PHP检索它并以某种方式使用它(可能页面将名称显示为文本).
用户是否可以修改cookie数据以注入恶意代码?是否应该通过脚本检索cookie数据进行清理?
(这是一个假设情景.显然,这里不需要cookie.)
解决方法:
Could a user modify the cookie data to inject malicious code? Should cookies be sanitized as they’re retrieved by the script?
注入恶意代码?不是PHP代码,但你应该在使用它们之前清理cookie值.
用户可以轻松修改,添加和删除Cookie,并将其视为不受信任的用户输入.它们与任何其他用户输入一样容易受到XSS和SQL注入的影响.
此外,除非您使用SSL,否则Cookie与请求中的GET或POST数据一样容易嗅探.恶意互联网服务可以拦截或修改cookie.另请参阅Firesheep以获取有关如何滥用和不信任cookie的示例.
标签:php,cookies,security,code-injection,sanitization 来源: https://codeday.me/bug/20190726/1540243.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。