#1 2009.06.15 06:19

Maks
Участник
Зарегистрирован: 2009.06.15
Сообщений: 12
Карма: 0
Профиль

Gemmoroj выручай.) фильтрация!

Короче у меня не фильтруется в чате переменная $url и есть возможность провести xxs. Вопрос! Как найти не фильтрованную переменную и как ее отфильтроват!
================
юзал гугл но мало че понел.( обьясните.

Неактивен

#2 2009.06.15 08:35

Gemorroj
Administrator
Откуда: Белоруссия
Зарегистрирован: 2007.11.03
Сообщений: 6593
Карма: 107
Профиль Веб-сайт

Re: Gemmoroj выручай.) фильтрация!

xss. от xss помогает htmlspecialchars

Неактивен

#3 2009.06.15 09:28

Maks
Участник
Зарегистрирован: 2009.06.15
Сообщений: 12
Карма: 0
Профиль

Re: Gemmoroj выручай.) фильтрация!

Код:

1
span style="color: #0000BB"><?php $new = htmlspecialchars ( "<a href='test'>Test</a>" , ENT_QUOTES ); echo $new ; // &lt;a href='test'&gt;Test&lt;/a&gt;?>

так?

Отредактировано Maks (2009.06.15 09:29)

Неактивен

#4 2009.06.15 09:34

Gemorroj
Administrator
Откуда: Белоруссия
Зарегистрирован: 2007.11.03
Сообщений: 6593
Карма: 107
Профиль Веб-сайт

Re: Gemmoroj выручай.) фильтрация!

нет.

Неактивен

#5 2009.06.15 10:37

Maks
Участник
Зарегистрирован: 2009.06.15
Сообщений: 12
Карма: 0
Профиль

Re: Gemmoroj выручай.) фильтрация!

Гм. А как еще?

Неактивен

#6 2009.06.15 11:06

WapStyle
Участник
Откуда: Ирбит
Зарегистрирован: 2008.03.26
Сообщений: 475
Карма: 3
Профиль Веб-сайт

Re: Gemmoroj выручай.) фильтрация!

Код:

1
$url = htmlspecialchars($url);

Код:

1
$url = htmlspecialchars('<a href="http://test.ru">Test.ru</a><br/>');

Отредактировано WapStyle (2009.06.15 11:07)

Неактивен

#7 2009.06.15 12:19

Maks
Участник
Зарегистрирован: 2009.06.15
Сообщений: 12
Карма: 0
Профиль

Re: Gemmoroj выручай.) фильтрация!

А вместо тест.ру че писать? И этот код в сам скрипт? Да?

Неактивен

#8 2009.06.15 13:43

Maks
Участник
Зарегистрирован: 2009.06.15
Сообщений: 12
Карма: 0
Профиль

Re: Gemmoroj выручай.) фильтрация!

Код:

1
2
3
4
5
6
7
8
9
10
11
12
13
$SQLlink = "";
$url=$_GET['url'];
$mydomen = "site.Ru";
If (!$url) { $url=$mydomen; }
 
$sk=$_GET['sk'];
$skz = "0";
If (!$sk) { $sk=$skz; }
$stt=$_GET['stt'];
$myd = "css";
If (!$stt) { $stt=$myd; }
 
$ver = trim(addslashes(htmlspecialchars($ver)));

проверьте на ошибки! Все ли верно?

Неактивен

#9 2009.06.15 13:53

WapStyle
Участник
Откуда: Ирбит
Зарегистрирован: 2008.03.26
Сообщений: 475
Карма: 3
Профиль Веб-сайт

Re: Gemmoroj выручай.) фильтрация!

вот это $url=$_GET['url']; замени на это $url = htmlspecialchars($_GET['url']);

Неактивен

#10 2009.06.15 13:54

Maks
Участник
Зарегистрирован: 2009.06.15
Сообщений: 12
Карма: 0
Профиль

Re: Gemmoroj выручай.) фильтрация!

WapStyle написал:

вот это $url=$_GET['url']; замени на это $url = htmlspecialchars($_GET['url']);

спасибо!
Добавлено спустя   1 минуту  41 секунду:
Тему не закрывайте. Т.к думаю не ток $url не отфильтрована!

Неактивен

#11 2009.06.15 14:04

WapStyle
Участник
Откуда: Ирбит
Зарегистрирован: 2008.03.26
Сообщений: 475
Карма: 3
Профиль Веб-сайт

Re: Gemmoroj выручай.) фильтрация!

у тебя не фильтруются
$sk=$_GET['sk'];
$stt=$_GET['stt'];

Неактивен

#12 2009.06.15 14:59

Maks
Участник
Зарегистрирован: 2009.06.15
Сообщений: 12
Карма: 0
Профиль

Re: Gemmoroj выручай.) фильтрация!

Ох. А их как профильтровать?
Добавлено спустя   1 минуту  2 секунды:
А так же не фильтруеца $mod

Неактивен

#13 2009.06.15 17:45

Maks
Участник
Зарегистрирован: 2009.06.15
Сообщений: 12
Карма: 0
Профиль

Re: Gemmoroj выручай.) фильтрация!

Парни хелп.(

Неактивен

#14 2009.06.15 18:00

Gemorroj
Administrator
Откуда: Белоруссия
Зарегистрирован: 2007.11.03
Сообщений: 6593
Карма: 107
Профиль Веб-сайт

Re: Gemmoroj выручай.) фильтрация!

перед занесением в бд с помощью mysql_real_escape_string, перед выдачей в браузер с помощью htmlspecialchars

Неактивен

#15 2009.06.15 18:22

Maks
Участник
Зарегистрирован: 2009.06.15
Сообщений: 12
Карма: 0
Профиль

Re: Gemmoroj выручай.) фильтрация!

Код:

1
2
3
isset($_GET['id']) ? $id = intval($_GET['id']) : $id ='';
(isset($_GET['page'])) && ($_GET['page']!=0) ? $page=intval($_GET['page']) : $page=1;
isset($_GET['act']) ? $act = mysql_real_escape_string($_GET['act']) : $act ='';

а че если так?

Неактивен

#16 2009.06.15 19:00

Gemorroj
Administrator
Откуда: Белоруссия
Зарегистрирован: 2007.11.03
Сообщений: 6593
Карма: 107
Профиль Веб-сайт

Re: Gemmoroj выручай.) фильтрация!

ну, я бы isset не использовал, а сразу интвалил. в случаес mysql_real_escape_string то же самое

Неактивен

#17 2009.06.15 19:06

Maks
Участник
Зарегистрирован: 2009.06.15
Сообщений: 12
Карма: 0
Профиль

Re: Gemmoroj выручай.) фильтрация!

Дай код интвалил пжл.

Неактивен

#18 2009.06.15 19:35

Gemorroj
Administrator
Откуда: Белоруссия
Зарегистрирован: 2007.11.03
Сообщений: 6593
Карма: 107
Профиль Веб-сайт

Re: Gemmoroj выручай.) фильтрация!

smile)
intval

Неактивен

#19 2009.06.15 19:43

Maks
Участник
Зарегистрирован: 2009.06.15
Сообщений: 12
Карма: 0
Профиль

Re: Gemmoroj выручай.) фильтрация!

Гг.) ) )

Код:

1
if(isset($_GET)){foreach($_GET as $key=>$value){$_GET[$key]=filtr($value);}}

че думаешь?

Неактивен

#20 2009.06.15 20:41

Gemorroj
Administrator
Откуда: Белоруссия
Зарегистрирован: 2007.11.03
Сообщений: 6593
Карма: 107
Профиль Веб-сайт

Re: Gemmoroj выручай.) фильтрация!

есть функция array_map

Неактивен

#21 2009.06.16 17:26

Maks
Участник
Зарегистрирован: 2009.06.15
Сообщений: 12
Карма: 0
Профиль

Re: Gemmoroj выручай.) фильтрация!

Лана Геморой спасиб. Все я отфильтровал.) да и извини за извращение над твоим ником в названии. Хы.)

Неактивен

Дополнительно

forum.wapinet.ru

PunBB Mod v0.6.2
0.016 s