جریان esc_html و esc_attr چیه؟

[naghmesra]

سلام escaping برای جلوگیری از نمایش داده های ناخواسته است که باعث جلوگیری از حملات XSS یا تزریق کد های مخرب در دیتابیس می شود، میتوانید خروجی این تابع ها را در سورس صفحه با ورودی ای که با آن دادید مقایسه کنید.

والا من تست کردم ولی تغییری ندیدم.
شاید متن من کاراکتر های خاصی که این توابع روشون کار میکنند رو ندارن.
مثلا متن که به esc_html میدم یه متن فارسی بدون تگ های HTML هست. روی چنین متنی کار خاصی انجام میده؟

[T.Toosi]

والا من تست کردم ولی تغییری ندیدم.
شاید متن من کاراکتر های خاصی که این توابع روشون کار میکنند رو ندارن.
مثلا متن که به esc_html میدم یه متن فارسی بدون تگ های HTML هست. روی چنین متنی کار خاصی انجام میده؟

ورودی html بدید :

کد:

$attr = '<div class="the" rel="quick" onclick="brown(\'fox\')">jumped over...</div>';
    echo esc_html($attr);

خروجی :

کد:

<div class="the" rel="quick" onclick="brown('fox')">jumped over...</div>

[naghmesra]

ورودی html بدید :

کد:

$attr = '<div class="the" rel="quick" onclick="brown(\'fox\')">jumped over...</div>';
    echo esc_html($attr);

خروجی :

کد:

<div class="the" rel="quick" onclick="brown('fox')">jumped over...</div>

آهان متوجه شدم.
یعنی خروجی ای که از esc_html بیرون میاد به طور کلی به شکل سورس HTML نمایش داده میشه و اجرا نمیشه؟

[T.Toosi]

باسلام، همانطور که مشاهده میکنید بعضی از کارکتر ها به کارکتر های Entity تبدیل شدند، حدود 250 کارکتر وجود دارد با تبدیل آن ها در نمایش HTML ما تغییری احساس نمیشود اما باعث جلوگیری از اجرای کد های جاوا اسکریپت یا PHP میشود، که در مثال زیر یک نمونه ساده حمله XSS با تزریق کد جاوا اسکریپت مشاهده میکنید :

کد:

https://paste.ofcode.org/5st8xC9gJCEUvEk9Bec8Sa