入力タグはHTMLで「サニタイズ」されていますか？

Question

ユーザが入力テキストタグ（この場合は想定されていない）にPHPコード<?php //code here ?>を追加すると、開始タグと終了タグは<と>に変換されます。 contenteditable div？

Answer 1

ユーザー入力は、DOMのプロパティに添付された生のテキストです。

HTML、PHPなど何かが行われてから（フォームが送信されたり、JavaScriptがプロパティを読み取り操作したりするなど）

Answer 2

生のテキストは標準のHTML入力にあり、ユーザーが入力したPHPコードは実行されません。

ただし、コードが実行する処理（データベースまたはWebサービスに送信）によっては、正しくサニタイズされていないと、攻撃者が攻撃を実行する可能性があります。

したがって、クライアント側とサーバー側の両方で、特にデータベースに対して起動する場合は、常にユーザー入力をサニタイズすることをお勧めします。

さまざまなフレームワークがサニタイズをサポートします。 PHPでは、あなたはsanitization filtersにアクセスできます。

参考までに、SQLインジェクション/ XSSなどの他の攻撃にも注意する必要があります。いくつかの一般的なWeb攻撃の概要を説明し、PHP filtersについて議論するOWASPのトップ10を見ることをお勧めします。

私は、攻撃者がデータベース内の悪質なコードを保存するために管理している場合に起こる可能性があり、ここでユーザーの入力をバック反射する非常に基本的な例を作成しました：データが入力されたら、しかし

var text = document.getElementById("test").value; 
 
eval(text);

<input id="test" type="text" value="alert('I have access to you document cookies and could use a windows redirection here')" />