0
我有一個帶有一個textarea字段的表單。該字段設置爲接受任何內容,並在提交時將輸入存儲在數據庫中。該代碼然後公開爲url:domain.com/asd。我沒有做任何類型的strip_tags,htmlentities或任何類型的xss預防。在mysql數據庫中存儲表單數據 - XSS漏洞
我的問題是,這可能會造成什麼危害。用戶可以使用任何類型的xss在輸入或輸出期間從數據庫獲取信息。
A
回答
2
XSS不會對您的服務器進行任何可能的攻擊,這在沒有XSS的情況下是不可能的。 XSS所做的是讓未經授權的用戶充當授權用戶。如果您的網站沒有用戶身份驗證,則XSS通常不是威脅。
2
你可能會在存儲XSS攻擊嚴重威脅,存儲跨站腳本:
發生存儲跨站腳本漏洞時,惡意用戶可以存儲一些攻擊,這將在以後的時間被要求一些其他不知情的用戶。攻擊實際上是以某種方式存儲的,以後再執行。
因此,如果惡意代碼在文本區域中並且存儲它。在稍後顯示存儲在數據庫中的數據時,就像您正在執行代碼一樣。除此之外,每當您在SQL查詢中使用textarea中的數據時,還有很多其他方式可以與數據庫一起玩。
1
相關問題
- 1. mysql漏洞。將數據保存在php文件或mysql數據庫中
- 2. XSS漏洞
- 3. 圖形數據庫漏洞
- 4. 防止XSS漏洞
- 5. XSS漏洞
- 6. XSS漏洞在JavaScript
- 7. XSS持久性漏洞
- 8. 存儲在MySQL數據庫
- 9. 在mysql數據庫中存儲簡單的數據
- 10. XSS中的常見漏洞?
- 11. 存儲從HTML表單中的數MySQL數據庫
- 12. 如何使用Struts防止XSS漏洞
- 13. 將表單數據存儲在數據庫中
- 14. 表單數據沒有存儲在數據庫中
- 15. ios將數據存儲到MySQL數據庫中簡單
- 16. 存儲在表(數據庫)
- 17. 使用MySQL和PHP將數據存儲在MySQL數據庫中
- 18. 在MySQL數據庫中存儲枚舉
- 19. 圖像存儲在mysql數據庫中
- 20. PHP和MySQL在數據庫中存儲
- 21. 在mysql數據庫中存儲php datetime
- 22. 在MySQL數據庫中存儲JSON?
- 23. 將PDF存儲在MySQL數據庫中
- 24. 將SQL存儲在MySQL數據庫中
- 25. 在MySQL數據庫中存儲CSS
- 26. 存儲在MySQL數據庫中的BLOB
- 27. 輸入表單數據不保存在mysql數據庫中?
- 28. 在MySQL數據庫中緩存/存儲twitter API數據
- 29. XSS漏洞:<wslite>
- 30. CodeIgniter多維數組存儲在mysql數據庫中的單列
可能重複的[XSS背後的一般概念是什麼?](http://stackoverflow.com/questions/2233015/what-is-the-general-concept-behind-xss) – BalusC
正在存儲的數據,是什麼它被用於? –
@dark site builder – Pinkie