Безопасность отправки форм

Рейтинг: 0Ответов: 2Опубликовано: 22.11.2014

Когда загружается файл(фото) на сервер, в качестве ответа сервер возвращает форму, где указан путь к картинке на сервере.

После чего отправляется форма, и в Базу данных добавляются пути к загруженным картинкам. Как избежать подмены пути?

Допустим пользователь открывает исходный файл HTML и делает замену в скрытом элементе формы значение на ссылку на вредоносный скрипт на своем сервере.

Прим. редактора: Пожалуйста пишите более читабельный текст в другой раз.

безопасность xss forms
Источник: Stack Overflow на русском

Ответы

▲ 2Принят

До невозможности просто: вывод формы загрузки файлов -> передача фотографий -> возврат формы с путями -> передача данных формы без путей. Решается либо через передачу айдишников фотографий вместо путей, либо привязке их к сущности еще на первом этапе. Есть еще хаковый вариант с проверкой существования фотографии по возвращенному пути, но вы же не хотите писать хреновое приложение, верно?

Следовательно, при отображении фотографии и будет выполнен этот файл.

С чего бы? PHP-инъекции еще реализуемы, но при должной настройке сервера и нормальном приложении будет выполняться только index.php

▲ 2

Отправляйте все данные одной формой, в том числе и файл.

А так же не забывайте проверять все данные которые вам отправляет пользователь.

Для безопасности стоит всегда придерживаться политики: "пользователь ваш враг".