Вы не зашли.
#1.
Maks
Off
(0)
Участник
2009.06.15 06:06
Короче у меня не фильтруется в чате переменная $url и есть возможность провести xxs. Вопрос! Как найти не фильтрованную переменную и как ее отфильтроват!
================
юзал гугл но мало че понел.( обьясните.
xss. от xss помогает htmlspecialchars
#3.
Maks
Off
(0)
Участник
2009.06.15 09:09
Код:
| span style="color: #0000BB"><?php $new = htmlspecialchars ( "<a href='test'>Test</a>" , ENT_QUOTES ); echo $new ; // <a href='test'>Test</a>?> |
так?
Отредактировано Maks (2009.06.15 09:09)
#5.
Maks
Off
(0)
Участник
2009.06.15 10:10
Гм. А как еще?
Код:
| $url = htmlspecialchars($url); |
Код:
| $url = htmlspecialchars('<a href="http://test.ru">Test.ru</a><br/>'); |
Отредактировано WapStyle (2009.06.15 11:11)
#7.
Maks
Off
(0)
Участник
2009.06.15 12:12
А вместо тест.ру че писать? И этот код в сам скрипт? Да?
#8.
Maks
Off
(0)
Участник
2009.06.15 13:01
Код:
| $SQLlink = ""; |
| $url=$_GET['url']; |
| $mydomen = "site.Ru"; |
| If (!$url) { $url=$mydomen; } |
| |
| $sk=$_GET['sk']; |
| $skz = "0"; |
| If (!$sk) { $sk=$skz; } |
| $stt=$_GET['stt']; |
| $myd = "css"; |
| If (!$stt) { $stt=$myd; } |
| |
| $ver = trim(addslashes(htmlspecialchars($ver))); |
проверьте на ошибки! Все ли верно?
вот это $url=$_GET['url']; замени на это $url = htmlspecialchars($_GET['url']);
#10.
Maks
Off
(0)
Участник
2009.06.15 13:01
WapStyle написал:
вот это $url=$_GET['url']; замени на это $url = htmlspecialchars($_GET['url']);
спасибо!
Добавлено спустя 1 минуту 41 секунду: Тему не закрывайте. Т.к думаю не ток $url не отфильтрована!
