WAP Мастер Форум / PHP / Переменная url(сервис)

#1. DjBoBaH Off (-1)
Участник
2008.11.07 14:02

Написал свой первый небольшой скриптег и сделал в нём возможность использовать как сервис wap-мастеру,код для этого сматрел в одном из скриптов by Gemorroj .
Вот код
$url = $_GET['url'];
if(!$url)
{ $url = $_SERVER['HTTP_HOST']; }
else
{ $url = trim(rawurldecode(stripslashes(htmlspecialchars($url)))); }
Меня интересует правильно ли всё и ничего дописывать не надо,а то мне сказали,что фильтровать надо,типа пассивная XSS
http://master.facewap.ru/style/?url=%22 … Fscript%3E

#3. DjBoBaH Off (-1)
Участник
2008.11.07 15:03

О,спасиб

там точно ничё сделать не смогут плохого?гГ

#4. Gemorroj Off (107)
Administrator
2008.11.07 16:04

Да по большому счету через xss нихуя сделать вообще не смогут. Только кукисы сайта того посмотреть.

#5. DjBoBaH Off (-1)
Участник
2008.11.07 16:04

Ыы,прикольно,ещё раз спасибо smile

#6. DjBoBaH Off (-1)
Участник
2008.11.08 03:03

Злой дядк0 говорит,что узнав мои куки спокойно сможет зайти под моим логином sad

#7. Gemorroj Off (107)
Administrator
2008.11.08 10:10

Ну вот пусть сначала узнает. Что мешает не ходить по ссылкам сформированным как xss? smile

#8. DjBoBaH Off (-1)
Участник
2008.11.08 11:11

Подскажи на всяк случай как эту переменную отфильтровать от левых знаков?
гГ Злой дядьк0 грозиться шалить на сайтах,на которых бует установлен мой скрипт...

#9. Gemorroj Off (107)
Administrator
2008.11.08 12:12

Код:

span style="color: #0000BB"><?php$url = $_GET['url'];if(!$url){$url = $_SERVER['HTTP_HOST'];}else{$url = strip_tags($url);}?>

этого достаточно

#11. DjBoBaH Off (-1)
Участник
2008.11.08 13:01

Сё равно alert кажет sad

А в чём разница меджу этими двумя кодами?

#13. DjBoBaH Off (-1)
Участник
2008.11.08 14:02

Могёт не могёт,а показывает,попробуй сам перейти по ссыли из первого поста и увидишь...

#14. Gemorroj Off (107)
Administrator
2008.11.08 15:03

По указанной ссылке переменная НЕ обрабатывается с помощью strip_tags. Измени у себя код.

#15. DjBoBaH Off (-1)
Участник
2008.11.08 22:10

Вот у мя файл футер.пхп :

Код:

span style="color: #0000BB"><?phpif($serv == 1){echo'» <a href="./servis.php?url='.$url.'">Wap-Мастеру</a>(сервис) ';if(!$url){ $url = $_SERVER['HTTP_HOST']; }else{$url = strip_tags($url);}echo'» <a href="http://'.$url.'">На главную</a> ';}else{echo'» <a href="http://'.$_SERVER['HTTP_HOST'].'">На главную</a> ';}if($motor == 1){include_once"../themes/$config_themes/foot.php";}else{include"./foot.php";}?>

Отредактировано DjBoBaH (2008.11.08 22:10)

#16. DjBoBaH Off (-1)
Участник
2008.11.09 02:02

Попробовал выключить register_globals ,так у мя ваще какие-либо данные перестали передоваться...

#17. Gemorroj Off (107)
Administrator
2008.11.09 10:10

Код:

span style="color: #0000BB"><?phpif(!$_REQUEST['url']){$url = $_SERVER['HTTP_HOST'];}else{$url = htmlspecialchars($_REQUEST['url']);}if($serv == 1){echo'» <a href="./servis.php?url='.$url.'">Wap-Мастеру</a>(сервис) » <a href="http://'.$url.'">На главную</a> ';}else{echo'» <a href="http://'.$url.'">На главную</a> ';}if($motor == 1){include_once '../themes/'.$config_themes.'/foot.php';}else{include './foot.php';}?>

Насчет глобальных переменных. Советую сразу браться переписывать весь код на сайте пот Register_Globals Off иначе потом будет просто больше работы.

#18. DjBoBaH Off (-1)
Участник
2008.11.09 11:11

А я ненаю как сделать чтобы данные с форм передовались при выключенном регистер глобалс sad

#19. DjBoBaH Off (-1)
Участник
2008.11.09 11:11

Сделал как ты сказал,сё равно алерт высвечивается...ничё не пойму,да тут ещё и один админ поставил себе мой скрипт,так у него почему-то всё норм,никакого алерта не выскакивает

#20. Gemorroj Off (107)
Administrator
2008.11.09 12:12

Если данные передаются через POST, то они будут в массиве $_POST, если через GET, то в массиве $_GET, $_REQUEST - это все вмесе и пост и гет и кукисы

#21. DjBoBaH Off (-1)
Участник
2008.11.09 13:01

Админ,у которого мой скрипт стоит говорит,что то ли добавил,то ли изменил код,говорит брал его отсюда http://wapinet.ru/script/show.php?d=/Pr … nicode.zip

#22. Gemorroj Off (107)
Administrator
2008.11.09 13:01

возможно у тебя еще где-то используется переменная $url, вставь фильтрацию выше.

#23. DjBoBaH Off (-1)
Участник
2008.11.09 14:02

Нет,больше нигде не используется.Посмотри весь скрипт в изначальном виде,пожалуйста,так тебе легче будет сказать,что не так http://master.facewap.ru/style/w-m_style.zip

#24. Gemorroj Off (107)
Administrator
2008.11.09 15:03

ну как же. в index.php используется.
еще раз настаиваю на переписании кода под Register_Globals Off
поставь себе как условие что Register_Globals On быть не может вообще. Уже в PHP версии 5.3 глобальные переменные вообще уберут из PHP, учти.

Вложения
w-m_style.zip 7kb [загрузок: 628]

#25. DjBoBaH Off (-1)
Участник
2008.11.10 00:12

Gemorroj,БОЛЬШУУУЩЕЕ тебе спасибо за советы smile

Архифчег твой я позже гляну,прост пока переводил скрипт на выключенный Register_Globals догадался перенести значение переменной из футера в конфиг smile

Кому нужен обновлённый архив,качайте из 23 поста smile

Gemorroj,скоро снова приду к тебе за советом,а то мя давно мучает вопросик,из-за которого никак недоделывал скрипт,а на висави мне толком никто ничего объяснить не смог,так что жди гГ

#26. DjBoBaH Off (-1)
Участник
2008.11.11 01:01

Gemorroj,как думаешь,почему Vantuz не выкладывает мой скрипт sad

?Мож там ещё косяки остались?Ты не смарел?Понимаю терь из-за чего он не хотел изначальный архив выкладывать,но обновленный...
Его спрашиваю,а он ничё не говорит

Отредактировано DjBoBaH (2008.11.11 01:01)

#27. Gemorroj Off (107)
Administrator
2008.11.11 02:02

нет, не смотрел на косяки.
я сильно сомневаюсь что вантуз сам скрипты на косяки проверяет) иначе большей части скриптов у него в архиве не было.

#28. DjBoBaH Off (-1)
Участник
2008.11.11 03:03

Мда уж,это точно гГ даж тот же самый скрипт,в котором я просил помочь с сортировкой,я брал с архива висави,а он-как ты говоришь-дырявый smile

Да лан,не добавляет,ну и пусть,мне прост интересно почему