PHP | XSS Açığı Engelleme

Cross site scripting (XSS), bilgisayar güvenlik açığı. HTML kodlarının arasına istemci tabanlı kod gömülmesi yoluyla kullanıcının tarayıcısında istenen istemci tabanlı kodun çalıştırılabilmesi olarak tanımlanır.

Engellenmesi basittir internet’te araştırma yaptığımızda genelde htmlpurifier Kütüphanesini yazmışlar ilk ona bakalım

HTMLPurifier İle Engelleme

$gelen = $_POST["id"]; //Gelen Veri
require_once 'library/HTMLPurifier.auto.php'; 
//HTMLPurifier Kütüphanesi Eklendi               
$config = HTMLPurifier_Config::createDefault();  
//Config Nesnesi Oluşturuldu                      
$config->set('Core', 'Encoding', 'ISO-8859-9');  
//Encod Türkçe Yapıldı                     
$purifier = new HTMLPurifier($config); 
//Config Nesnesinin Özelliğini Taşıyan HTMLPurifier Nesnesi Oluşturuldu                  
$pure_html = $purifier->purify($gelen); 
// Gelen Veriyi Purify İşlemine Soktuk                        
echo $pure_html; 
// Temiz Bir Çıktı Aldık                                  

HTMLPurifier Dosyalarını İndirmek için.

Fonksiyon Kullanarak Engelleme

Fonksiyon Kullanarak’da Engelleme Yapabilirsiniz Kodumuz

  $cekilen = $_POST['veri'];
  $degisken = strip_tags($cekilen); //JavaScript,HTML,PHP Kodlarını 
  Engelledik.
  // Yada
  $deg = htmlentities($cekilen); // HTML kodlarını Görmezden Geldik.

Yazmış Olduğum kod size tanıdık gelebilir daha önce filtreleme sisteminde aynı koda değinmiştik incelemek için. Bir Başka Konuda Görüşmek Üzere…