Real Time Web Analytics کانال تلگرام لرن روت

PHP

تابع strip_tags درPHP چه کار می کند؟

نویسنده : کامران جعفری
تاریخ انتشار:
19:12:43 1394-07-10
در امنیت وب نیاز است تا اطلاعات ورودی کاربران بررسی شوند. یکی از توابع کمکی در این زمینه strip_tags است.

یکی از نگرانی های توسعه دهندگان وب و برنامه نویسان همیشه بحث امنیت برنامه های آنهاست. در این مقاله به یکی از موارد ضروری در رعایت استانداردهای امنیتی وب سایت می پردازیم. با این مقاله لرن روت همراه باشید.

یک قانون کلی در امنیت وب وجود دارد و آن این است:

هیچ وقت به اطلاعات ورودی کاربر اعتماد نکنید.

یکی از حملات ساده توسط مهاجمان، حمله XSS می باشد که می توانید مکانیزم آن را در مقاله آموزش جلوگیری از XSS Attack در لاراول ببینید.
جلوگیری از این حمله در PHP همانند خود حمله بسیار ساده است، فقط کافی است اطلاعات ورودی کاربر را از تابع زیر بگذرانید:

 

$user_data = strip_tags($user_data);

برای مثال به کد زیر توجه کنید:


$user_data = <script> alert(“Easily Hacked”) </script>
$user_data = strip_tags($user_data)
echo $user_data

نتیجه و خروجی به صورت زیر خواهد بود:

alert(“Easily Hacked”)

ولی در صورتی که خود مقدار user_data$ بدون استفاده از تابع strip_tags چاپ شود، هیچ چیزی در خروجی نخواهید دید ولی کد جاوا اسکریپ اجرا شده و پیغام Easily Hacked به روی صفحه خواهد آمد.
این تابع از پارامتر دوم به بعد نیز مقادیر اختیاری دریافت می کند که این پارامترها نام تگ هایی هایی هستند که شما می خواهید از رشته تان خارج نشوند.
برای مثال:

$user_data = <p><b> Visit Learn Route </b></p>
$user_data = strip_tags($user_data,”<b>”)
echo $user_data

خروجی برای کاربر به صورت زیر است:

Visit Learn Route

خروجی در حالت HTML به صورت زیر است:

<b> Visit Learn Route </b>

 

برچسب ها:
مقالات مشابه