Re: Preventing XSS in PHP...

From: Slow2Show (sl2sho@yahoo.com)
Date: 05/03/02 

Date: 2 May 2002 22:20:42 -0000
From: Slow2Show <sl2sho@yahoo.com>
To: vuln-dev@securityfocus.com
('binary' encoding is not supported, stored as-is) In-Reply-To: <OF6FCFDC2A.59A56994-ON03256BAD.006A1C06@carol.com.br>

>Much if has said in holes of Cross Site Scripting.

Yep...some even say "too much" and argue that it isn’t
a "real security hole", but if you’ve had your admin cookie
stolen on a forum then you would say otherwise.

>Happily, language PHP supplies to the programmer a great
function to
>prevent that this happens

yep PHP can handle input sanitizing very well...hopefully
all new webApp langs will have sanitizing functionality
built into their frameworks...(MS actually does in asp.net)

I suggest you check out the webAppSec list, the OWASP
project, and cgisecurity.com for more info.
http://online.securityfocus.com/archive/107
http://www.owasp.org
http://www.cgisecurity.com

Take care,

-Slow2Show-
University of Florida

--Translation to help out our Brazillian friend--
-- tradução má --

Alguns mesmo dizem "demasiado" e discutem que não é um furo
da segurança do real mas se você tem tiver seu cookie do
admin roubado em um forum então você diriam de outra
maneira.

PHP pode segurar a entrada que sanitizing muito bem...
esperançosamente todos os línguas novos do aplicação web
terá sanitizing a funcionalidade construída em seus (MS das
estruturas... faz realmente em asp.net) Eu sugiro-o
verificação para fora da lista do webAppSec, do projeto de
OWASP, e de cgisecurity.com para mais info.
http://online.securityfocus.com/archive/107
http://www.owasp.org
http://www.cgisecurity.com

o abriviation correto "cross site scripting" é XSS

Ciao...desculpe meu português mau,
-Slow2Show-

Relevant Pages