Как избежать js инъекции?

Question

[Lenskii]

Здравствуйте, проблема у меня! Запустил свой первый проект, сделал защиту от sql инъекций, но есть другая проблема. Один очень умный пользователь внедрил js код в базу и он выполняется. Как можно этого избежать? Работаю исключительно через pdo и prepare запросы.
Пример:


Помогите пожалуйста!

Answer 1

[Алексей Уколов]

Это называется XSS и никакого отношения к PDO и вообще к БД не имеет. Эта атака хорошо известна и способы борьбы с ней описаны во множестве статей, выбирайте любую.
Собственно, в блоке "Продаваемый товар" у вас, очевидно, уже всё сделано правильно, раз там скрипт выводится текстом, а не исполняется.

Comments

[Lenskii]

Спасибо, а можно ли внедрить что либо в картинку?
Вывожу ее с базы примерно так:

<?php 
echo '<img class="user_img" src="data:image/jpeg;base64,'.base64_encode( $fe['avatar_tmp'] ).'"/>'; 
?>

Она уязвима к шеллам и тп?

[Алексей Уколов]

Задайте отдельный вопрос.

Answer 2

[Карлиндоу Мэрлифи]

<script>alert('xxx');</script>

Должно в базе данных храниться как

<script>alert('xxx');</script>
Чтобы потом при выводе скрипт не выполнялся

Для этого перед добавлением в Базу Данных строки используйте функцию фильтра

function filter($m){ 
	if(!is_numeric($m)){
		$m = htmlspecialchars($m);
	} else {
		$m = intval($m);
	}
	return $m;
} /* FILTER */

Comments

[Сергей delphinpro]

Все ровно наоборот =)
Хранить можно как есть. При выводе эскейпить.

[Алексей Уколов]

Эскейпить лучше при выводе, а не при сохранении. Так, во-первых, всегда будет доступ к оригинальным данным, а во-вторых, не надо надеяться, что кто-то где-то когда-то не забыл заэкранировать при сохранении (собственно, у автора уже есть мусор в БД).

[Алексей Уколов]

function filter($m){ 
  if(!is_numeric($m)){
    $m = htmlspecialchars($m);
  } else {
    $m = intval($m);
    $m = abs($m);
  }
  return $m;
}

А уж зачем у интеджера выкидывать знак - это совсем не поддаётся пониманию.