» WAP Мастер Форум https://forum.wapinet.ru/index.php » PHP https://forum.wapinet.ru/viewforum.php?id=3 » Gemmoroj выручай.) фильтрация! https://forum.wapinet.ru/viewtopic.php?id=417 |
Maks » 2009.06.15 06:19 | ||||||||||||||||||||||||||||
Короче у меня не фильтруется в чате переменная $url и есть возможность провести xxs. Вопрос! Как найти не фильтрованную переменную и как ее отфильтроват! | ||||||||||||||||||||||||||||
Gemorroj » 2009.06.15 08:35 | ||||||||||||||||||||||||||||
xss. от xss помогает htmlspecialchars | ||||||||||||||||||||||||||||
Maks » 2009.06.15 09:28 | ||||||||||||||||||||||||||||
Код:
так? | ||||||||||||||||||||||||||||
Gemorroj » 2009.06.15 09:34 | ||||||||||||||||||||||||||||
нет. | ||||||||||||||||||||||||||||
Maks » 2009.06.15 10:37 | ||||||||||||||||||||||||||||
Гм. А как еще? | ||||||||||||||||||||||||||||
WapStyle » 2009.06.15 11:06 | ||||||||||||||||||||||||||||
Код:
Код:
| ||||||||||||||||||||||||||||
Maks » 2009.06.15 12:19 | ||||||||||||||||||||||||||||
А вместо тест.ру че писать? И этот код в сам скрипт? Да? | ||||||||||||||||||||||||||||
Maks » 2009.06.15 13:43 | ||||||||||||||||||||||||||||
Код:
проверьте на ошибки! Все ли верно? | ||||||||||||||||||||||||||||
WapStyle » 2009.06.15 13:53 | ||||||||||||||||||||||||||||
вот это $url=$_GET['url']; замени на это $url = htmlspecialchars($_GET['url']); | ||||||||||||||||||||||||||||
Maks » 2009.06.15 13:54 | ||||||||||||||||||||||||||||
спасибо! | ||||||||||||||||||||||||||||
WapStyle » 2009.06.15 14:04 | ||||||||||||||||||||||||||||
у тебя не фильтруются | ||||||||||||||||||||||||||||
Maks » 2009.06.15 14:59 | ||||||||||||||||||||||||||||
Ох. А их как профильтровать? | ||||||||||||||||||||||||||||
Maks » 2009.06.15 17:45 | ||||||||||||||||||||||||||||
Парни хелп.( | ||||||||||||||||||||||||||||
Gemorroj » 2009.06.15 18:00 | ||||||||||||||||||||||||||||
перед занесением в бд с помощью mysql_real_escape_string, перед выдачей в браузер с помощью htmlspecialchars | ||||||||||||||||||||||||||||
Maks » 2009.06.15 18:22 | ||||||||||||||||||||||||||||
Код:
а че если так? | ||||||||||||||||||||||||||||
Gemorroj » 2009.06.15 19:00 | ||||||||||||||||||||||||||||
ну, я бы isset не использовал, а сразу интвалил. в случаес mysql_real_escape_string то же самое | ||||||||||||||||||||||||||||
Maks » 2009.06.15 19:06 | ||||||||||||||||||||||||||||
Дай код интвалил пжл. | ||||||||||||||||||||||||||||
Gemorroj » 2009.06.15 19:35 | ||||||||||||||||||||||||||||
=)) | ||||||||||||||||||||||||||||
Maks » 2009.06.15 19:43 | ||||||||||||||||||||||||||||
Гг.) ) ) Код:
че думаешь? | ||||||||||||||||||||||||||||
Gemorroj » 2009.06.15 20:41 | ||||||||||||||||||||||||||||
есть функция array_map | ||||||||||||||||||||||||||||
Maks » 2009.06.16 17:26 | ||||||||||||||||||||||||||||
Лана Геморой спасиб. Все я отфильтровал.) да и извини за извращение над твоим ником в названии. Хы.) |