PHP [HTML][JS] Einfaches Framework für Output Validierung gesucht

[raven16]

Hallo,

ich suche in Kombination mit Wordpress und Bootstrap ein kleines Framework, mit dem ich Output Validierung betreiben möchte. Das Framework soll unerlaubte Sonderzeichen vor dem Zusenden der Daten zum Besucher der Seite rausfiltern, sodass Crossite Scripting und andere ähnliche Attacken nicht mehr möglich sind. Laut meinem Secrurity Prof. soll es nahezu unmöglich sein, so etwas auf Anhieb selbst zu schreiben, sodass alle Sicherheitslücken geschlossen sind.

Gruß

 

[coolmodi]

Das musst du schon selber machen, und WP bringt da auch die Möglichkeiten mit, so auch schon PHP. EIn Framework kann dir die arbeit nicht noch weiter abnehmen.

Du musst:
1. Bei der Eingabe von Daten den input validieren und escapen, WPDB übernimmt das zum Teil. (SQL-Injection)
2. Bei der Ausgabe html-tags escapen, auch dafür bietet WP funktionen, etwa esc_html() siehe https://codex.wordpress.org/Data_Validation (XSS)
3. Falls untrusted data in script tags verwendet wird, dann muss das natürlich speziell geregelt werden! (XSS)

Ich wüsste zumindest nicht wie etwas diese Dinge noch weiter automatisieren soll, denn was wo ein- und ausgegeben wird entscheidest immer noch du selbst.

Edit: Und falls JS clientseitig URL-Parameter verwendet musst du dich auch darum kümmern.

 

[raven16]

Danke, das klingt schon mal ganz in Ordnung.

Ansonsten habe ich selbst noch den Escaper vom Zend Framework gefunden.