WAP Мастер Форум / PHP / Gemmoroj выручай.) фильтрация!

#1. Maks Off (0)
Участник
2009.06.15 06:06

Короче у меня не фильтруется в чате переменная $url и есть возможность провести xxs. Вопрос! Как найти не фильтрованную переменную и как ее отфильтроват!
================
юзал гугл но мало че понел.( обьясните.

#2. Gemorroj Off (107)
Administrator
2009.06.15 08:08

xss. от xss помогает htmlspecialchars

#3. Maks Off (0)
Участник
2009.06.15 09:09

Код:

span style="color: #0000BB"><?php $new = htmlspecialchars ( "<a href='test'>Test</a>" , ENT_QUOTES ); echo $new ; // <a href='test'>Test</a>?>

так?

Отредактировано Maks (2009.06.15 09:09)

#5. Maks Off (0)
Участник
2009.06.15 10:10

Гм. А как еще?

#6. WapStyle Off (3)
Участник
2009.06.15 11:11

Код:

$url = htmlspecialchars($url);

Код:

$url = htmlspecialchars('<a href="http://test.ru">Test.ru</a><br/>');

Отредактировано WapStyle (2009.06.15 11:11)

#7. Maks Off (0)
Участник
2009.06.15 12:12

А вместо тест.ру че писать? И этот код в сам скрипт? Да?

#8. Maks Off (0)
Участник
2009.06.15 13:01

Код:

$SQLlink = "";

$url=$_GET['url'];

$mydomen = "site.Ru";

If (!$url) { $url=$mydomen; }

$sk=$_GET['sk'];

$skz = "0";

If (!$sk) { $sk=$skz; }

$stt=$_GET['stt'];

$myd = "css";

If (!$stt) { $stt=$myd; }

$ver = trim(addslashes(htmlspecialchars($ver)));

проверьте на ошибки! Все ли верно?

#9. WapStyle Off (3)
Участник
2009.06.15 13:01

вот это $url=$_GET['url']; замени на это $url = htmlspecialchars($_GET['url']);

#10. Maks Off (0)
Участник
2009.06.15 13:01

WapStyle написал:
вот это $url=$_GET['url']; замени на это $url = htmlspecialchars($_GET['url']);

спасибо!
Добавлено спустя 1 минуту 41 секунду:
Тему не закрывайте. Т.к думаю не ток $url не отфильтрована!

#11. WapStyle Off (3)
Участник
2009.06.15 14:02

у тебя не фильтруются
$sk=$_GET['sk'];
$stt=$_GET['stt'];

#12. Maks Off (0)
Участник
2009.06.15 14:02

Ох. А их как профильтровать?
Добавлено спустя 1 минуту 2 секунды:
А так же не фильтруеца $mod

#13. Maks Off (0)
Участник
2009.06.15 17:05

Парни хелп.(

#14. Gemorroj Off (107)
Administrator
2009.06.15 18:06

перед занесением в бд с помощью mysql_real_escape_string, перед выдачей в браузер с помощью htmlspecialchars

#15. Maks Off (0)
Участник
2009.06.15 18:06

Код:

isset($_GET['id']) ? $id = intval($_GET['id']) : $id ='';

(isset($_GET['page'])) && ($_GET['page']!=0) ? $page=intval($_GET['page']) : $page=1;

isset($_GET['act']) ? $act = mysql_real_escape_string($_GET['act']) : $act ='';

а че если так?

#16. Gemorroj Off (107)
Administrator
2009.06.15 19:07

ну, я бы isset не использовал, а сразу интвалил. в случаес mysql_real_escape_string то же самое

#17. Maks Off (0)
Участник
2009.06.15 19:07

Дай код интвалил пжл.

#19. Maks Off (0)
Участник
2009.06.15 19:07

Гг.) ) )

Код:

if(isset($_GET)){foreach($_GET as $key=>$value){$_GET[$key]=filtr($value);}}

че думаешь?

#20. Gemorroj Off (107)
Administrator
2009.06.15 20:08

есть функция array_map

#21. Maks Off (0)
Участник
2009.06.16 17:05

Лана Геморой спасиб. Все я отфильтровал.) да и извини за извращение над твоим ником в названии. Хы.)