Вы не зашли.
Написал свой первый небольшой скриптег и сделал в нём возможность использовать как сервис wap-мастеру,код для этого сматрел в одном из скриптов by Gemorroj .
Вот код
$url = $_GET['url'];
if(!$url)
{ $url = $_SERVER['HTTP_HOST']; }
else
{ $url = trim(rawurldecode(stripslashes(htmlspecialchars($url)))); }
Меня интересует правильно ли всё и ничего дописывать не надо,а то мне сказали,что фильтровать надо,типа пассивная XSS
http://master.facewap.ru/style/?url=%22 … Fscript%3E
) старый скриптег) поменяй местами rawurldecode и htmlspecialchars
О,спасиб
там точно ничё сделать не смогут плохого?гГ
Да по большому счету через xss нихуя сделать вообще не смогут. Только кукисы сайта того посмотреть.
Ыы,прикольно,ещё раз спасибо
Злой дядк0 говорит,что узнав мои куки спокойно сможет зайти под моим логином
Ну вот пусть сначала узнает. Что мешает не ходить по ссылкам сформированным как xss?
Подскажи на всяк случай как эту переменную отфильтровать от левых знаков?
гГ Злой дядьк0 грозиться шалить на сайтах,на которых бует установлен мой скрипт...
Код:
span style="color: #0000BB"><?php$url = $_GET['url'];if(!$url){$url = $_SERVER['HTTP_HOST'];}else{$url = strip_tags($url);}?> |
этого достаточно
Сё равно alert кажет
А в чём разница меджу этими двумя кодами?
не могет оно алерт показывать.
Могёт не могёт,а показывает,попробуй сам перейти по ссыли из первого поста и увидишь...
По указанной ссылке переменная НЕ обрабатывается с помощью strip_tags. Измени у себя код.
Вот у мя файл футер.пхп :
Код:
span style="color: #0000BB"><?phpif($serv == 1){echo'» <a href="./servis.php?url='.$url.'">Wap-Мастеру</a>(сервис)<br/>';if(!$url){ $url = $_SERVER['HTTP_HOST']; }else{$url = strip_tags($url);}echo'» <a href="http://'.$url.'">На главную</a><br/>';}else{echo'» <a href="http://'.$_SERVER['HTTP_HOST'].'">На главную</a><br/>';}if($motor == 1){include_once"../themes/$config_themes/foot.php";}else{include"./foot.php";}?> |
Отредактировано DjBoBaH (2008.11.08 22:10)
Попробовал выключить register_globals ,так у мя ваще какие-либо данные перестали передоваться...
Код:
span style="color: #0000BB"><?phpif(!$_REQUEST['url']){$url = $_SERVER['HTTP_HOST'];}else{$url = htmlspecialchars($_REQUEST['url']);}if($serv == 1){echo'» <a href="./servis.php?url='.$url.'">Wap-Мастеру</a>(сервис)<br/>» <a href="http://'.$url.'">На главную</a><br/>';}else{echo'» <a href="http://'.$url.'">На главную</a><br/>';}if($motor == 1){include_once '../themes/'.$config_themes.'/foot.php';}else{include './foot.php';}?> |
Насчет глобальных переменных. Советую сразу браться переписывать весь код на сайте пот Register_Globals Off иначе потом будет просто больше работы.
А я ненаю как сделать чтобы данные с форм передовались при выключенном регистер глобалс
Сделал как ты сказал,сё равно алерт высвечивается...ничё не пойму,да тут ещё и один админ поставил себе мой скрипт,так у него почему-то всё норм,никакого алерта не выскакивает
Если данные передаются через POST, то они будут в массиве $_POST, если через GET, то в массиве $_GET, $_REQUEST - это все вмесе и пост и гет и кукисы
возможно у тебя еще где-то используется переменная $url, вставь фильтрацию выше.
ну как же. в index.php используется.
еще раз настаиваю на переписании кода под Register_Globals Off
поставь себе как условие что Register_Globals On быть не может вообще. Уже в PHP версии 5.3 глобальные переменные вообще уберут из PHP, учти.
Gemorroj,БОЛЬШУУУЩЕЕ тебе спасибо за советы
Архифчег твой я позже гляну,прост пока переводил скрипт на выключенный Register_Globals догадался перенести значение переменной из футера в конфиг
Кому нужен обновлённый архив,качайте из 23 поста
Gemorroj,скоро снова приду к тебе за советом,а то мя давно мучает вопросик,из-за которого никак недоделывал скрипт,а на висави мне толком никто ничего объяснить не смог,так что жди гГ
Gemorroj,как думаешь,почему Vantuz не выкладывает мой скрипт
?Мож там ещё косяки остались?Ты не смарел?Понимаю терь из-за чего он не хотел изначальный архив выкладывать,но обновленный...
Его спрашиваю,а он ничё не говорит
Отредактировано DjBoBaH (2008.11.11 01:01)
нет, не смотрел на косяки.
я сильно сомневаюсь что вантуз сам скрипты на косяки проверяет) иначе большей части скриптов у него в архиве не было.
Мда уж,это точно гГ даж тот же самый скрипт,в котором я просил помочь с сортировкой,я брал с архива висави,а он-как ты говоришь-дырявый
Да лан,не добавляет,ну и пусть,мне прост интересно почему