WAP Мастер Форум

DjBoBaH · 2008.11.07 14:33

Написал свой первый небольшой скриптег и сделал в нём возможность использовать как сервис wap-мастеру,код для этого сматрел в одном из скриптов by Gemorroj .
Вот код
$url = $_GET['url'];
if(!$url)
{ $url = $_SERVER['HTTP_HOST']; }
else
{ $url = trim(rawurldecode(stripslashes(htmlspecialchars($url)))); }
Меня интересует правильно ли всё и ничего дописывать не надо,а то мне сказали,что фильтровать надо,типа пассивная XSS
http://master.facewap.ru/style/?url=%22 … Fscript%3E

Gemorroj · 2008.11.07 14:45

smile ) старый скриптег) поменяй местами rawurldecode и htmlspecialchars

DjBoBaH · 2008.11.07 15:23

О,спасиб smile там точно ничё сделать не смогут плохого?гГ

Gemorroj · 2008.11.07 16:37

Да по большому счету через xss нихуя сделать вообще не смогут. Только кукисы сайта того посмотреть.

DjBoBaH · 2008.11.07 16:46

Ыы,прикольно,ещё раз спасибо smile

DjBoBaH · 2008.11.08 03:16

Злой дядк0 говорит,что узнав мои куки спокойно сможет зайти под моим логином sad

Gemorroj · 2008.11.08 10:11

Ну вот пусть сначала узнает. Что мешает не ходить по ссылкам сформированным как xss? smile

DjBoBaH · 2008.11.08 11:38

Подскажи на всяк случай как эту переменную отфильтровать от левых знаков?
гГ Злой дядьк0 грозиться шалить на сайтах,на которых бует установлен мой скрипт...

Gemorroj · 2008.11.08 12:54

Код:

1

span style="color: #0000BB"><?php$url = $_GET['url'];if(!$url){$url = $_SERVER['HTTP_HOST'];}else{$url = strip_tags($url);}?>

этого достаточно

DjBoBaH · 2008.11.08 12:59

Ок,попробую

DjBoBaH · 2008.11.08 13:12

Сё равно alert кажет sad А в чём разница меджу этими двумя кодами?

Gemorroj · 2008.11.08 13:46

не могет оно алерт показывать.

DjBoBaH · 2008.11.08 14:12

Могёт не могёт,а показывает,попробуй сам перейти по ссыли из первого поста и увидишь...

Gemorroj · 2008.11.08 15:02

По указанной ссылке переменная НЕ обрабатывается с помощью strip_tags. Измени у себя код.

DjBoBaH · 2008.11.08 22:40

Вот у мя файл футер.пхп :

Код:

1

span style="color: #0000BB"><?phpif($serv == 1){echo'» <a href="./servis.php?url='.$url.'">Wap-Мастеру</a>(сервис) ';if(!$url){ $url = $_SERVER['HTTP_HOST']; }else{$url = strip_tags($url);}echo'» <a href="http://'.$url.'">На главную</a> ';}else{echo'» <a href="http://'.$_SERVER['HTTP_HOST'].'">На главную</a> ';}if($motor == 1){include_once"../themes/$config_themes/foot.php";}else{include"./foot.php";}?>

Отредактировано DjBoBaH (2008.11.08 22:43)

DjBoBaH · 2008.11.09 02:55

Попробовал выключить register_globals ,так у мя ваще какие-либо данные перестали передоваться...

Gemorroj · 2008.11.09 10:35

Код:

1

span style="color: #0000BB"><?phpif(!$_REQUEST['url']){$url = $_SERVER['HTTP_HOST'];}else{$url = htmlspecialchars($_REQUEST['url']);}if($serv == 1){echo'» <a href="./servis.php?url='.$url.'">Wap-Мастеру</a>(сервис) » <a href="http://'.$url.'">На главную</a> ';}else{echo'» <a href="http://'.$url.'">На главную</a> ';}if($motor == 1){include_once '../themes/'.$config_themes.'/foot.php';}else{include './foot.php';}?>

Насчет глобальных переменных. Советую сразу браться переписывать весь код на сайте пот Register_Globals Off иначе потом будет просто больше работы.

DjBoBaH · 2008.11.09 11:30

А я ненаю как сделать чтобы данные с форм передовались при выключенном регистер глобалс sad

DjBoBaH · 2008.11.09 11:45

Сделал как ты сказал,сё равно алерт высвечивается...ничё не пойму,да тут ещё и один админ поставил себе мой скрипт,так у него почему-то всё норм,никакого алерта не выскакивает

Gemorroj · 2008.11.09 12:38

Если данные передаются через POST, то они будут в массиве $_POST, если через GET, то в массиве $_GET, $_REQUEST - это все вмесе и пост и гет и кукисы

DjBoBaH · 2008.11.09 13:22

Админ,у которого мой скрипт стоит говорит,что то ли добавил,то ли изменил код,говорит брал его отсюда http://wapinet.ru/script/show.php?d=/Pr … nicode.zip

Gemorroj · 2008.11.09 13:48

возможно у тебя еще где-то используется переменная $url, вставь фильтрацию выше.

DjBoBaH · 2008.11.09 14:04

Нет,больше нигде не используется.Посмотри весь скрипт в изначальном виде,пожалуйста,так тебе легче будет сказать,что не так http://master.facewap.ru/style/w-m_style.zip

Gemorroj · 2008.11.09 15:18

ну как же. в index.php используется.
еще раз настаиваю на переписании кода под Register_Globals Off
поставь себе как условие что Register_Globals On быть не может вообще. Уже в PHP версии 5.3 глобальные переменные вообще уберут из PHP, учти.

Вложения

w-m_style.zip

DjBoBaH · 2008.11.10 00:51

Gemorroj,БОЛЬШУУУЩЕЕ тебе спасибо за советы smile Архифчег твой я позже гляну,прост пока переводил скрипт на выключенный Register_Globals догадался перенести значение переменной из футера в конфиг smile
Кому нужен обновлённый архив,качайте из 23 поста smile
Gemorroj,скоро снова приду к тебе за советом,а то мя давно мучает вопросик,из-за которого никак недоделывал скрипт,а на висави мне толком никто ничего объяснить не смог,так что жди гГ

DjBoBaH · 2008.11.11 01:42

Gemorroj,как думаешь,почему Vantuz не выкладывает мой скрипт sad ?Мож там ещё косяки остались?Ты не смарел?Понимаю терь из-за чего он не хотел изначальный архив выкладывать,но обновленный...
Его спрашиваю,а он ничё не говорит

Отредактировано DjBoBaH (2008.11.11 01:43)

Gemorroj · 2008.11.11 02:05

нет, не смотрел на косяки.
я сильно сомневаюсь что вантуз сам скрипты на косяки проверяет) иначе большей части скриптов у него в архиве не было.

DjBoBaH · 2008.11.11 03:14

Мда уж,это точно гГ даж тот же самый скрипт,в котором я просил помочь с сортировкой,я брал с архива висави,а он-как ты говоришь-дырявый smile Да лан,не добавляет,ну и пусть,мне прост интересно почему

WAP Мастер Форум

#1 2008.11.07 14:33

Переменная url(сервис)

#2 2008.11.07 14:45

Re: Переменная url(сервис)

#3 2008.11.07 15:23

Re: Переменная url(сервис)

#4 2008.11.07 16:37

Re: Переменная url(сервис)

#5 2008.11.07 16:46

Re: Переменная url(сервис)

#6 2008.11.08 03:16

Re: Переменная url(сервис)

#7 2008.11.08 10:11

Re: Переменная url(сервис)

#8 2008.11.08 11:38

Re: Переменная url(сервис)

#9 2008.11.08 12:54

Re: Переменная url(сервис)

Код:

#10 2008.11.08 12:59

Re: Переменная url(сервис)

#11 2008.11.08 13:12

Re: Переменная url(сервис)

#12 2008.11.08 13:46

Re: Переменная url(сервис)

#13 2008.11.08 14:12

Re: Переменная url(сервис)

#14 2008.11.08 15:02

Re: Переменная url(сервис)

#15 2008.11.08 22:40

Re: Переменная url(сервис)

Код:

#16 2008.11.09 02:55

Re: Переменная url(сервис)

#17 2008.11.09 10:35

Re: Переменная url(сервис)

Код:

#18 2008.11.09 11:30

Re: Переменная url(сервис)

#19 2008.11.09 11:45

Re: Переменная url(сервис)

#20 2008.11.09 12:38

Re: Переменная url(сервис)

#21 2008.11.09 13:22

Re: Переменная url(сервис)

#22 2008.11.09 13:48

Re: Переменная url(сервис)

#23 2008.11.09 14:04

Re: Переменная url(сервис)

#24 2008.11.09 15:18

Re: Переменная url(сервис)

#25 2008.11.10 00:51

Re: Переменная url(сервис)

#26 2008.11.11 01:42

Re: Переменная url(сервис)

#27 2008.11.11 02:05

Re: Переменная url(сервис)

#28 2008.11.11 03:14

Re: Переменная url(сервис)

Дополнительно