XSS – Roy Duineveld https://royduineveld.nl Waarom moeilijk doen als het makkelijk kan? Tue, 27 Jan 2026 07:48:00 +0000 nl hourly 1 https://wordpress.org/?v=4.9.26 Escape HTML met Javascript https://royduineveld.nl/escape-html-met-javascript/ https://royduineveld.nl/escape-html-met-javascript/#respond Thu, 29 Nov 2012 16:56:37 +0000 https://royduineveld.nl/?p=146 In PHP gebruik ik geregeld de htmlspecialchars functie om voornamelijk XSS tegen te gaan. Maar met Javascript komt het nog wel eens voor bij het verwerken van HTML dat het...

Het bericht Escape HTML met Javascript verscheen eerst op Roy Duineveld.

]]> In PHP gebruik ik geregeld de htmlspecialchars functie om voornamelijk XSS tegen te gaan. Maar met Javascript komt het nog wel eens voor bij het verwerken van HTML dat het escapen ook nodig is. Daarvoor een hele eenvoudige functie:

function escapeHtml(unsafe) {
	return unsafe
		.replace(/&/g, "&")
		.replace(/</g, "&lt;")
		.replace(/>/g, "&gt;")
		.replace(/"/g, "&quot;")
		.replace(/'/g, "&#039;");
}

Het bericht Escape HTML met Javascript verscheen eerst op Roy Duineveld.

]]> https://royduineveld.nl/escape-html-met-javascript/feed/ 0 Eenvoudig SQL injection en XSS voorkomen https://royduineveld.nl/eenvoudig-sql-injection-en-xss-voorkomen/ https://royduineveld.nl/eenvoudig-sql-injection-en-xss-voorkomen/#respond Fri, 16 Nov 2012 17:10:35 +0000 https://royduineveld.nl/?p=70 Twee simpele functies welke mij in “standaard php scripts” (niet gebaseerd op frameworks o.i.d.) van dienst zijn om SQL injection en XSS tegen te gaan: Om het goed te doen...

Het bericht Eenvoudig SQL injection en XSS voorkomen verscheen eerst op Roy Duineveld.

]]> Twee simpele functies welke mij in “standaard php scripts” (niet gebaseerd op frameworks o.i.d.) van dienst zijn om SQL injection en XSS tegen te gaan:


<?php
//SQL injection tegengaan
function secure_in ($string)
{
	return mysqli_real_escape_string($string);
}

//XSS tegengaan
function secure ($string){
	return htmlspecialchars($string, ENT_QUOTES, "UTF-8");
}
?>

Om het goed te doen dienen deze functies wel op de juiste plaatsen gebruikt te worden! Zo dient secure_in() gebruikt te worden in alle queries waarin de input van de bezoeker komt, bijvoorbeeld:


<?php
mysqli_query("INSERT INTO gebruikers (naam) VALUES ('".secure_in($_POST['naam'])."')");
?>

En dient secure() overal gebruikt te worden wanneer er door een bezoeker opgegeven informatie weergegeven wordt:


<?php
echo secure($_POST['naam']);
?>

Het bericht Eenvoudig SQL injection en XSS voorkomen verscheen eerst op Roy Duineveld.

]]> https://royduineveld.nl/eenvoudig-sql-injection-en-xss-voorkomen/feed/ 0