Script Injection 的解決方案

-


在 Udacity Intro to Backend 的課程中,有提到一些後端的安全性問題像是:
  • SQL Injection
  • Script Injection
其中,針對 Script Injection 的處理方式是在我們將 user 傳送的資料寫到資料庫之前,要先做清除的動作,這個術語叫作 Script Sanitize。

在 Intro to Backend 的課程中,就有以 python 舉例一些 script sanitize module
至於 golang 方面呢 ?

bluemonday 好像是不錯的選擇:https://github.com/microcosm-cc/bluemonday

留言

張貼留言

這個網誌中的熱門文章

Vim 自動 補完 插件 YouCompleteMe 教學 心得 新手入門 C++ C

-
圖片
在講正題之前,先奉上developer的github : https://github.com/Valloric/YouCompleteMe 由於自己也是新手,如果內容有什麼不正確的地方請不吝指教 謝謝!  [ 正題開始 ] 這個暑假嘗試了很多vim的plugin 其中一個覺得還不錯的plugin : YouCompleteMe  他和以往的complete補完插件不太一樣的是 他不是去讀ctags裡面的資料 而是parse子串的內容 所以即使再打字串和comment也可以進行補完的功能 ( 有些要利用 vim 的配置檔案 .vimrc 進一步配置 ) 接下來就以ubuntu 14.04進行安裝,這裡介紹的是" 簡易安裝模式 " 再按裝這個plugin之前 我們需要利用的東西:vim  7.3.584 以上, git, Vundle, cmake, python, Vundle linux - like 系統 安裝插件的方式是利用 :            sudo apt-get install [plugin_name] [ 安裝 git ] 首先,在我們擁有一台 linux 作業系統的電腦時,一開始是沒有安裝 " git "  並且在安裝 "Vundle" 之前 要先裝 git  ( 用git裝Vundle , Vundle 是 vim plugin 的託管插件 ) 在$後面打上 sudo apt-get install git 就會開始安裝囉~ 以$開頭代表終端機指令 ( command line ) [ 安裝 Vundle ] 接下來,我們安裝 Vundle :  https://github.com/gmarik/Vundle.vim $ git clone https://github.com/gmarik/Vundle.vim.git ~/.vim/bundle/Vundle.vim 然後我們輸入vim .vimrc 進行bundle的基本配置 在Vundle作者的github有.vimrc的基本配置,其中有一些Plugin可以不用使用 隨個人決定  配置好 .vimrc 後 :wq  [ 安裝
閱讀完整內容

怎麼建立一個 Https server?

-
圖片
如何架設一個 https server 如何架設一個 https server 最近 chatbot 聊天機器人很火紅,在 Facebook, Line, Slack, Telegram 上都能夠架設聊天機器人。我們只需要設定 callback url 就可以了。但是, 我們服務的 callback url 通常必須是 https,所以我想分享一下自己是怎麼架設 https server。 會使用到的伺服器軟體及要準備的東西: nginx domain name 一台擁有 public ip 的機器 流程 將 domain name 綁定到你機器的 ip 上 申請 ssl 憑證 設定 nginx, run service 將 domain name 綁定到 ip 上 首先,你得要先取得一個 domain name, 通常這個 domain name 是跟供應商買來的,常見的供應商有: Godaddy Namecheap p.s domain name 購買的期限是以年為單位。 購買了一個 domain name 之後,藉由購買 domain name 的平台網站去管理 DNS,將 A record 的部分設定為你的機器 IP。大概過 3 - 5 分鐘後,就可以利用 domain name 去存取你的網頁服務。 如果你對 DNS 的設定有興趣可以看 這裡 以 Godaddy 為例: 申請 ssl 憑證 ssl 你可以跟供應商購買,GoDaddy, Namecheap 都有在賣。但是如果你 跟我一樣窮的話 只是單純想要嚐鮮的話,可以試試 Let’s Encrypt 的服務。他可以提供免費的 ssl 憑證,這個憑證有三個月的使用期限,等使用期限快到了再 renewal 就好了。 網路上關於 Let’s Encrypt 的教學都是比較舊版的,現在你只要使用他們提供的 Certbot 服務,按照他們的步驟執行就可以輕鬆取得 ssl 憑證。 首先選擇一下,你的 webserver 和 os 種類 依序執行 $ wget https://dl.eff.org/certbot-auto $ chmod a+x certbot-auto $ ./certbot-auto certonly 這時候會出現藍色的互動式介面
閱讀完整內容

C pointer to function 函式指標 學習心得

-
圖片
這是函式指標學習心得的第一篇,在這一篇中你會學習到: 1. 函式在記憶體中的情況 2.  如何宣告一個函式指標 3.  函式的宣告 4. 使用 typedef 來定義一個函式指標的類型 本篇著重在介紹函式指標,實際應用方面會在下一篇介紹 ------------------------ 1.  函式在記憶體中的情況  ------------------------ 在真正的開始學習函式指標 ( pointer to function ) 之前,我們要先弄懂到底什麼是函式 以及函式在記憶體分布的情形。 當一個程式碼檔案 ( .c , .cpp ...) 被執行的時候,會產生出一個程序 ( process ),此時才會開始佔用記憶體及進行各種運算。先前我們定義的指標都是針對一個資料型態,如:int *  這是一個指向 int 資料類型的指標。然而,C為什麼沒有為 function 也定義出一個資料型別? 因為不同的 function 依照建立的方式不同而有不同的 type ,所以沒辦法替每一種 function 都定義出一個通用的型別。 實際上,function 和一般的資料儲存的狀況不太一樣,他儲存的是一堆的指令。 我們可以參考下面的圖片:  圖片來源:http://ccckmit.wikidot.com/cp%3Aenvironment 當一個 process 產生的時候,會有一塊自己可以使用的記憶體,並且這個記憶體分成許多不同的區塊,儲存不同的東西。一般來說,我們使用的區域變數是儲存在 stack 區段。程式碼則是儲存在 .text 區。因此,雖然和一般的資料型式不同,但是程式碼也是會佔用記憶體的! 理所當然,他也會有自己的位址。 我們可以利用反組譯的方式來查看: 編譯方式:gcc -g -o test test.c 在這裡我使用 gdb 來輔助  第 1 行 顯示 function name 的位址,接著我們到第15行可以發現,function 第 1 行指令的位址和function name的位址是一樣的,所以我們可以得知:其實function name的位址就是function第一行指令的位址。接著,在第 8 行中,我們可以看到main呼叫函式也是利用函式第 1 行指令的位址。 由此可知,其
閱讀完整內容