PHP/MySQL | XSS PHP
МАНЬЯК_ЧИКАТИЛО 
Всем привет, подскажите как закрыть в этом коде XSS
if (isset($_POST['login'])) {
$login = htmlspecialchars(trim($_POST['login']));
if ($login == '') {
unset($login);
$_SESSION['message'] = 'Введите пожалуйста логин!';
header("Location: /");
}
}
if (isset($_POST['password'])) {
$password= htmlspecialchars(trim( $_POST['password']));
if ($password =='') {
unset($password);
$_SESSION['message'] = 'Введите пароль!';
header("Location: /");
}
}
$login = stripslashes($login);
$login = htmlspecialchars($login);
$password = stripslashes($password);
$password = htmlspecialchars($password);
$login = trim($login);
$password = trim($password);
$password = md5($password);//шифруем пароль
$id_user = $sql->ass("SELECT id FROM users WHERE login='$login' AND password='$password'");
if (empty($id_user['id'])){
$_SESSION['message'] = 'Извините, введённый вами логин или пароль неверный!';
header("Location: /");
} else {
$_SESSION['password']=$password;
$_SESSION['login']=$login;
$_SESSION['id']=$id_user['id'];
}
header("Location: /");
С меня +++
wladua2016 if (isset($_POST['login'])) {
$login = htmlspecialchars(trim($_POST['login']));
if ($login == '') {
unset($login);
$_SESSION['message'] = 'Введите пожалуйста логин!';
header("Location: /");
}
}
if (isset($_POST['password'])) {
$password= htmlspecialchars(trim( $_POST['password']));
if ($password =='') {
unset($password);
$_SESSION['message'] = 'Введите пароль!';
header("Location: /");
}
}
$login = stripslashes($login);
$login = htmlspecialchars($login);
$password = stripslashes($password);
$password = htmlspecialchars($password);
$login = trim($login);
$password = trim($password);
$password = md5($password);//шифруем пароль
$id_user = $sql->ass("SELECT id FROM users WHERE login='$login' AND password='$password'");
if (empty($id_user['id'])){
$_SESSION['message'] = 'Извините, введённый вами логин или пароль неверный!';
header("Location: /");
} else {
$_SESSION['password']=$password;
$_SESSION['login']=$login;
$_SESSION['id']=$id_user['id'];
}
header("Location: /");
С меня +++
xss в тя закритая тут
Коляда
htmlspecialchars же
Коляда, есть язва где-то
shadrvlad (10.06.2017 в 17:35)
wladua2016, фильтрация запроса в базу, htmlspecialchars не защищает от sql инъекций
wladua2016, фильтрация запроса в базу, htmlspecialchars не защищает от sql инъекций
но он о xss спрашивал...
________
посл. ред. 10.06.2017 в 17:43; всего 1 раз(а); by shadrvlad
Запрос в бд экранируй
________
посл. ред. 10.06.2017 в 17:51; всего 1 раз(а); by Mr.Max
Mr.Max ________
посл. ред. 10.06.2017 в 17:51; всего 1 раз(а); by Mr.Max
mysql_escape_string
Стр.: 1, 2