Вы не зашли.
#1.
Maks
Off
(0)
Участник
2009.06.15 06:06
Короче у меня не фильтруется в чате переменная $url и есть возможность провести xxs. Вопрос! Как найти не фильтрованную переменную и как ее отфильтроват!
================
юзал гугл но мало че понел.( обьясните.
xss. от xss помогает htmlspecialchars
#3.
Maks
Off
(0)
Участник
2009.06.15 09:09
Код:
span style="color: #0000BB"><?php $new = htmlspecialchars ( "<a href='test'>Test</a>" , ENT_QUOTES ); echo $new ; // <a href='test'>Test</a>?> |
так?
Отредактировано Maks (2009.06.15 09:09)
#5.
Maks
Off
(0)
Участник
2009.06.15 10:10
Гм. А как еще?
Код:
$url = htmlspecialchars($url); |
Код:
$url = htmlspecialchars('<a href="http://test.ru">Test.ru</a><br/>'); |
Отредактировано WapStyle (2009.06.15 11:11)
#7.
Maks
Off
(0)
Участник
2009.06.15 12:12
А вместо тест.ру че писать? И этот код в сам скрипт? Да?
#8.
Maks
Off
(0)
Участник
2009.06.15 13:01
Код:
$SQLlink = ""; |
$url=$_GET['url']; |
$mydomen = "site.Ru"; |
If (!$url) { $url=$mydomen; } |
|
$sk=$_GET['sk']; |
$skz = "0"; |
If (!$sk) { $sk=$skz; } |
$stt=$_GET['stt']; |
$myd = "css"; |
If (!$stt) { $stt=$myd; } |
|
$ver = trim(addslashes(htmlspecialchars($ver))); |
проверьте на ошибки! Все ли верно?
вот это $url=$_GET['url']; замени на это $url = htmlspecialchars($_GET['url']);
#10.
Maks
Off
(0)
Участник
2009.06.15 13:01
WapStyle написал:
вот это $url=$_GET['url']; замени на это $url = htmlspecialchars($_GET['url']);
спасибо!
Добавлено спустя 1 минуту 41 секунду: Тему не закрывайте. Т.к думаю не ток $url не отфильтрована!
у тебя не фильтруются
$sk=$_GET['sk'];
$stt=$_GET['stt'];
#12.
Maks
Off
(0)
Участник
2009.06.15 14:02
Ох. А их как профильтровать?
Добавлено спустя 1 минуту 2 секунды: А так же не фильтруеца $mod
#13.
Maks
Off
(0)
Участник
2009.06.15 17:05
Парни хелп.(
перед занесением в бд с помощью mysql_real_escape_string, перед выдачей в браузер с помощью htmlspecialchars
#15.
Maks
Off
(0)
Участник
2009.06.15 18:06
Код:
isset($_GET['id']) ? $id = intval($_GET['id']) : $id =''; |
(isset($_GET['page'])) && ($_GET['page']!=0) ? $page=intval($_GET['page']) : $page=1; |
isset($_GET['act']) ? $act = mysql_real_escape_string($_GET['act']) : $act =''; |
а че если так?
ну, я бы isset не использовал, а сразу интвалил. в случаес mysql_real_escape_string то же самое
#17.
Maks
Off
(0)
Участник
2009.06.15 19:07
Дай код интвалил пжл.
)
intval
#19.
Maks
Off
(0)
Участник
2009.06.15 19:07
Гг.) ) )
Код:
if(isset($_GET)){foreach($_GET as $key=>$value){$_GET[$key]=filtr($value);}} |
че думаешь?
#21.
Maks
Off
(0)
Участник
2009.06.16 17:05
Лана Геморой спасиб. Все я отфильтровал.) да и извини за извращение над твоим ником в названии. Хы.)