我有一个带有一个textarea字段的表单。该字段设置为接受任何内容,并在提交时将输入存储在数据库中。该代码然后公开为url:domain.com/asd
。我没有做任何类型的strip_tags
,htmlentities
或任何类型的xss预防。在mysql数据库中存储表单数据 - XSS漏洞
我的问题是,这可能会造成什么危害。用户可以使用任何类型的xss在输入或输出期间从数据库获取信息。
我有一个带有一个textarea字段的表单。该字段设置为接受任何内容,并在提交时将输入存储在数据库中。该代码然后公开为url:domain.com/asd
。我没有做任何类型的strip_tags
,htmlentities
或任何类型的xss预防。在mysql数据库中存储表单数据 - XSS漏洞
我的问题是,这可能会造成什么危害。用户可以使用任何类型的xss在输入或输出期间从数据库获取信息。
XSS不会对您的服务器进行任何可能的攻击,这在没有XSS的情况下是不可能的。 XSS所做的是让未经授权的用户充当授权用户。如果您的网站没有用户身份验证,则XSS通常不是威胁。
你可能会在存储XSS攻击严重威胁,存储跨站脚本:
发生存储跨站脚本漏洞时,恶意用户可以存储一些攻击,这将在以后的时间被要求一些其他不知情的用户。攻击实际上是以某种方式存储的,以后再执行。
因此,如果恶意代码在文本区域中并且存储它。在稍后显示存储在数据库中的数据时,就像您正在执行代码一样。除此之外,每当您在SQL查询中使用textarea中的数据时,还有很多其他方式可以与数据库一起玩。
可能重复的[XSS背后的一般概念是什么?](http://stackoverflow.com/questions/2233015/what-is-the-general-concept-behind-xss) – BalusC
正在存储的数据,是什么它被用于? –
@dark site builder – Pinkie