侵入テストアプリを実行したところ、大量の XSS エラーが見つかりました。具体的には、未検証のデータをクエリ文字列を介してブラウザにエコーバックした罪があります。
具体的には、これを実行すると JavaScript がページに挿入されます。 http://www.mywebsite.com/search.php?q=%00 '" [ScRiPt]%20%0a%0d>alert(426177032569)%3B[/ScRiPt].
ありがたいことに、ユーザーがデータベースにデータを保存して他のユーザーに表示できるようにする場所がないので、この問題で自分自身をハッキングすることしかできないと思いますが、それでも修正したいと思います。
これを行うことをお勧めします。
echo htmlentities($_POST[‘input’], ENT_QUOTES, ‘UTF-8’);
しかし、現在、私はこれをできるだけ早くパッチを当ててから、ケースバイケースで修正する必要があります. サイトのすべてのページにインクルードするヘッダー ファイルがあります。それが悪い形式であることはわかっていますが、そうすると何が問題になる可能性がありますか。
array_walk($_POST, 'htmlentities');
COOKIE と GET についても同様に行う必要があります。_REQUEST は使用しません。
ありがとう