#11 2009.06.20 20:42

Gemorroj
Administrator
Откуда: Белоруссия
Зарегистрирован: 2007.11.03
Сообщений: 6594
Карма: 107
Профиль Веб-сайт

Re: Подсветка кода

"немного не то" - это что?

Неактивен

#12 2009.06.20 20:49

Chizh
Участник
Зарегистрирован: 2009.06.16
Сообщений: 26
Карма: 2
Профиль

Re: Подсветка кода

ну <> показываются букафками )))

Неактивен

#13 2009.06.20 22:03

Gemorroj
Administrator
Откуда: Белоруссия
Зарегистрирован: 2007.11.03
Сообщений: 6594
Карма: 107
Профиль Веб-сайт

Re: Подсветка кода

если показывается буквами, то значит у тебя уже переменная отфильтрована.

Неактивен

#14 2009.06.21 07:06

Chizh
Участник
Зарегистрирован: 2009.06.16
Сообщений: 26
Карма: 2
Профиль

Re: Подсветка кода

дык это я и сам знаю smile а если не отфильтровать, то ведь получается xss-дырка. Или я чето пропустил?

Неактивен

#15 2009.06.21 10:16

Gemorroj
Administrator
Откуда: Белоруссия
Зарегистрирован: 2007.11.03
Сообщений: 6594
Карма: 107
Профиль Веб-сайт

Re: Подсветка кода

у тебя переменная отфильтрована 2 раза.

Неактивен

#16 2009.06.21 10:33

JInn
Участник
Откуда: Север нашей Родины
Зарегистрирован: 2008.11.18
Сообщений: 120
Карма: 2
Профиль Веб-сайт

Re: Подсветка кода

Вот еще по поводу фильтрации переменных
echo '<a href="text.php?id='.$_GET['id'].'&str=4&page='.$_GET['page'].'">[100]</a>';
Вот такое $_GET['id'] и $_GET['page'] надо фильтровать? На хвабе говорят что надо, а с моей точки зрения если юзер гетом передаст xss то увидит этот код только он. Это конечно при условии что я правильно понимаю работу пхп...


Как все таки сложно быть ботом...

Неактивен

#17 2009.06.21 11:05

Gemorroj
Administrator
Откуда: Белоруссия
Зарегистрирован: 2007.11.03
Сообщений: 6594
Карма: 107
Профиль Веб-сайт

Re: Подсветка кода

да, все верно. но злоумышленник может сформировать такую ссылку на удаленном сайте и обманом заставить пользователя по ней перейти. ну а в нефильтрованные переменные можно напихать JS'ов всяких уже.

Неактивен

#18 2009.06.21 13:33

JInn
Участник
Откуда: Север нашей Родины
Зарегистрирован: 2008.11.18
Сообщений: 120
Карма: 2
Профиль Веб-сайт

Re: Подсветка кода

В общем фильтровать надо, я так понял, htmlspecialchars хватит для фильтрации?


Как все таки сложно быть ботом...

Неактивен

#19 2009.06.21 14:26

Gemorroj
Administrator
Откуда: Белоруссия
Зарегистрирован: 2007.11.03
Сообщений: 6594
Карма: 107
Профиль Веб-сайт

Re: Подсветка кода

от xss да

Неактивен

#20 2009.06.26 20:48

Chizh
Участник
Зарегистрирован: 2009.06.16
Сообщений: 26
Карма: 2
Профиль

Re: Подсветка кода

вернемся к подсветке )) не сильно много говнокода?

Код:

1
span style="color: #0000BB"><?phpfunction php_code_tags($arg){$arg[0] = htmlspecialchars_decode($arg[0], ENT_QUOTES);return '<div style="background-color: beige">'. preg_replace("/\[php\](.*?)\[\/php\]/is", "<b>PHP:</b>\\1", highlight_string($arg[0], true)) .'</div>';}function bb_code($message){$message = preg_replace_callback("/\[php\](.*?)\[\/php\]/is", "php_code_tags", $message); # еще куча тегов....}// тут ересь всякая$text = htmlentities($text, ENT_QUOTES, 'UTF-8');$text = bb_code($text);?>

Неактивен

Дополнительно

forum.wapinet.ru

PunBB Mod v0.6.2
0.016 s