Написал свой первый небольшой скриптег и сделал в нём возможность использовать как сервис wap-мастеру,код для этого сматрел в одном из скриптов by Gemorroj .
Вот код
$url = $_GET['url'];
if(!$url)
{ $url = $_SERVER['HTTP_HOST']; }
else
{ $url = trim(rawurldecode(stripslashes(htmlspecialchars($url)))); }
Меня интересует правильно ли всё и ничего дописывать не надо,а то мне сказали,что фильтровать надо,типа пассивная XSS
http://master.facewap.ru/style/?url=%22 … Fscript%3E

=)) старый скриптег) поменяй местами rawurldecode и htmlspecialchars

О,спасиб :) там точно ничё сделать не смогут плохого?гГ

Да по большому счету через xss нихуя сделать вообще не смогут. Только кукисы сайта того посмотреть.

Ыы,прикольно,ещё раз спасибо :)

Злой дядк0 говорит,что узнав мои куки спокойно сможет зайти под моим логином :(

Ну вот пусть сначала узнает. Что мешает не ходить по ссылкам сформированным как xss? =)

Подскажи на всяк случай как эту переменную отфильтровать от левых знаков?
гГ Злой дядьк0 грозиться шалить на сайтах,на которых бует установлен мой скрипт...

этого достаточно

Ок,попробую

Сё равно alert кажет :( А в чём разница меджу этими двумя кодами?

не могет оно алерт показывать.

Могёт не могёт,а показывает,попробуй сам перейти по ссыли из первого поста и увидишь...

По указанной ссылке переменная НЕ обрабатывается с помощью strip_tags. Измени у себя код.

Вот у мя файл футер.пхп :

Попробовал выключить register_globals ,так у мя ваще какие-либо данные перестали передоваться...

Насчет глобальных переменных. Советую сразу браться переписывать весь код на сайте пот Register_Globals Off иначе потом будет просто больше работы.

А я ненаю как сделать чтобы данные с форм передовались при выключенном регистер глобалс :(

Сделал как ты сказал,сё равно алерт высвечивается...ничё не пойму,да тут ещё и один админ поставил себе мой скрипт,так у него почему-то всё норм,никакого алерта не выскакивает

Если данные передаются через POST, то они будут в массиве $_POST, если через GET, то в массиве $_GET, $_REQUEST - это все вмесе и пост и гет и кукисы

Админ,у которого мой скрипт стоит говорит,что то ли добавил,то ли изменил код,говорит брал его отсюда http://wapinet.ru/script/show.php?d=/Pr … nicode.zip

возможно у тебя еще где-то используется переменная $url, вставь фильтрацию выше.

Нет,больше нигде не используется.Посмотри весь скрипт в изначальном виде,пожалуйста,так тебе легче будет сказать,что не так http://master.facewap.ru/style/w-m_style.zip

ну как же. в index.php используется.
еще раз настаиваю на переписании кода под Register_Globals Off
поставь себе как условие что Register_Globals On быть не может вообще. Уже в PHP версии 5.3 глобальные переменные вообще уберут из PHP, учти.

Gemorroj,БОЛЬШУУУЩЕЕ тебе спасибо за советы :) Архифчег твой я позже гляну,прост пока переводил скрипт на выключенный Register_Globals догадался перенести значение переменной из футера в конфиг :)
Кому нужен обновлённый архив,качайте из 23 поста :)
Gemorroj,скоро снова приду к тебе за советом,а то мя давно мучает вопросик,из-за которого никак недоделывал скрипт,а на висави мне толком никто ничего объяснить не смог,так что жди гГ

Gemorroj,как думаешь,почему Vantuz не выкладывает мой скрипт :( ?Мож там ещё косяки остались?Ты не смарел?Понимаю терь из-за чего он не хотел изначальный архив выкладывать,но обновленный...
Его спрашиваю,а он ничё не говорит

нет, не смотрел на косяки.
я сильно сомневаюсь что вантуз сам скрипты на косяки проверяет) иначе большей части скриптов у него в архиве не было.

Мда уж,это точно гГ даж тот же самый скрипт,в котором я просил помочь с сортировкой,я брал с архива висави,а он-как ты говоришь-дырявый :) Да лан,не добавляет,ну и пусть,мне прост интересно почему