应该用phpunit来测试xss sql注入?

前端之家收集整理的这篇文章主要介绍了应该用phpunit来测试xss sql注入?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
应该用PHPunit PHP web应用程序来测试xss sql注入?
我想找到输出xss其他攻击的程序来测试我的申请表.
应该使用新的xss和其他新的攻击来全面更新此程序/服务.
这样的服务/程序是否存在,如果不是今天呢?
请给出一些例子,如果可以的话.

(我使用PHP 5.3 zend框架mysql)

编辑:

我询问测试,而不是阻止我也知道的技术.

谢谢,

优素福

我不认为你可以轻松地对这种事情进行单元测试.这将要求您的应用程序以有助于嘲笑其组件的方式编写,并且绝对涉及大量的连续手动工作(确保有一切的测试和嘲笑,测试无数种攻击等).

200的X- 200 X- 200 X- 200 X- 200 X- 200 X- 200 X- 200 X- 200 X- 200 200 X-

防止这种攻击的形式是众所周知的,易于使用:

>总是escape variables in sql,还是更好使用prepared statements
>如果您不需要接受和保留HTML输入,那么总是htmlspecialchars任何进入HTML的变量(请注意,有许多格式,如BBCode,MarkDown,Textile等,其唯一目的是允许一个有用的格式化选项子集,而不会打开潘多拉的盒子)
可用的新200新新200新200新200新200新新200新200新200新200新200新200新200新200新200新200新200新200新200新200新200新200新200新200新200新200新200 200 200新新200新200新200新200新新200新200新200新200新200新200新200新新200新200新新200新200新新200新200新新200新200新新200新200新新200新200新新200新200新新200新200新新200新200新新200新新200新新200新新新200新新200新新200新新新200新新200新新200新新200新新200新新200新新200新新200新新新200新新200新新200新新

因此,我想说,确保您遵循这些做法/使用这些工具,您的时间更好.

此外,如果您通过一个定义明确的部分漏洞访问这两个子系统(sql和HTML输出)(数据库访问方法,无论什么都可以转义所有输入; HTML输出函数以相同的方式转义输入变量和将它们注入提供的“HTML模板”,随后回显),则可以轻松对这些子系统进行单元测试.体面的PHP框架已经这样做了.

在这一点上,引入漏洞的唯一真正的机会是排除或滥用这些子系统. 200新X-45新新新新新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新200新新新旗新新旗新新旗新新旗新新旗新新旗新新旗新新旗新旗新新旗新新旗新新旗:

最后,您可以使用automated SQL injection toolsXSS-related tools来探测Web应用程序.新新200新200新200新200新200新新200新新200新新200新200新200新新200新200新新200新200新新200新200新新200新200新新200新新200新200新新200新200新新200新新200新新200新200新新旗新新旗新新旗2001-新新新新旗新200新旗新200新新旗新新200新新旗新新旗2001-新新新新旗新200新新旗新新旗2001-新新新新旗新200新新旗新新旗2001-新新新旗新旗新200新新旗新新旗新新旗2001-新新新旗新旗新200新新旗新新旗2001-新新新新旗新旗200新新旗新新旗新

猜你在找的PHP相关文章