Войти или зарегистрироваться
Выберите удобный способ — аккаунт создастся автоматически.
Или войдите по логину и паролю
 |
|

01.01.2008, 22:01
|
|
Banned
Регистрация: 30.03.2007
Сообщений: 344
С нами:
10061666
Репутация:
2438
|
|
вобщем ты получил ответ на свой вопрос,если что пусть Исис расскажет что оон хотел сказать...)
|
|
|

01.01.2008, 22:03
|
|
Постоянный
Регистрация: 11.11.2006
Сообщений: 595
С нами:
10261766
Репутация:
1079
|
|
Сообщение от Isis
Охохо...если вы думаете что htmlspecialchars спасает от всего, то вы горекодеры...
Угу, а ты попробуй обойди htmlspecialchars, хватит тут выпендриваться.
|
|
|

01.01.2008, 22:06
|
|
Постоянный
Регистрация: 30.08.2007
Сообщений: 773
С нами:
9840758
Репутация:
808
|
|
Указать кодировку в мета-тэге, например:
Код:
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
Выводятся в виде хтмл кода.
Я имел ввиду, что они могли быть:
- в тэге <title>,
- в тэгах <div>, <span>, и т.д,
- в тэгах <style>, <script> (omg),
- в названии атрибута тэга,
- в значении атрибута тэга.
От этого зависят правила фильтрации.
|
|
|

01.01.2008, 22:11
|
|
Banned
Регистрация: 11.08.2006
Сообщений: 1,522
С нами:
10393869
Репутация:
2032
|
|
Я имел ввиду, что они могли быть:
ничего такого нет.
вобщем ты получил ответ на свой вопрос,если что пусть Исис расскажет что оон хотел сказать...)
а вдруг я сделаю, а исис меня похекает?
с кавычками так?
PHP код:
$var = str_replace('"', "", $var);
$var = str_replace("'", "", $var);
зы у меня кодировка windows-1251
Последний раз редактировалось Piflit; 01.01.2008 в 22:15..
|
|
|

01.01.2008, 22:12
|
|
Постоянный
Регистрация: 11.11.2006
Сообщений: 595
С нами:
10261766
Репутация:
1079
|
|
Сообщение от astrologer
Указать кодировку в мета-тэге, например:
Код:
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
Я имел ввиду, что они могли быть:
- в тэге <title>,
- в тэгах <div>, <span>, и т.д,
- в тэгах <style>, <script> (omg),
- в названии атрибута тэга,
- в значении атрибута тэга.
От этого зависят правила фильтрации.
В принципе, если я правильно помню, атака с помощью utf-7 может быть только там, где не установлена кодировка в хедере, в мета-тегах и utf-7 идет с самого начала, иначе кодировкой данной страницы считается кодировка первого встреченного текста. Я прав?
|
|
|

01.01.2008, 22:15
|
|
Banned
Регистрация: 30.03.2007
Сообщений: 344
С нами:
10061666
Репутация:
2438
|
|
непохекает,мы его подкупим))
|
|
|

01.01.2008, 22:16
|
|
Постоянный
Регистрация: 11.11.2006
Сообщений: 595
С нами:
10261766
Репутация:
1079
|
|
Сообщение от Piflit
ничего такого нет.
а вдруг я сделаю, а исис меня похекает? 
Если ты параноик, юзай перед добавлением base64_encode, а перед выводом - htmlentities( strip_tags(base64_decode()),ENT_QUOTES)
|
|
|

01.01.2008, 22:43
|
|
Постоянный
Регистрация: 29.05.2007
Сообщений: 850
С нами:
9975266
Репутация:
1916
|
|
лично я против xss использую не только htmlspecialchars() но и stripslashes()
а против sql-inj
PHP код:
$_POST['a'] = str_replace("'","", $_POST['a']);
$_POST['a'] = str_replace("&","", $_POST['a']);
$_POST['a'] = str_replace("+","",$_POST['a']);
$_POST['a'] = str_replace("/","",$_POST['a']);
$_POST['a'] = str_replace("*","",$_POST['a']);
фильтрация символов ' & + / * вполне имхо достаточна
|
|
|

01.01.2008, 22:47
|
|
Постоянный
Регистрация: 11.11.2006
Сообщений: 595
С нами:
10261766
Репутация:
1079
|
|
Сообщение от .:EnoT:.
лично я против xss использую не только htmlspecialchars() но и stripslashes()
а против sql-inj
PHP код:
$_POST['a'] = str_replace("'","", $_POST['a']);
$_POST['a'] = str_replace("&","", $_POST['a']);
$_POST['a'] = str_replace("+","",$_POST['a']);
$_POST['a'] = str_replace("/","",$_POST['a']);
$_POST['a'] = str_replace("*","",$_POST['a']);
фильтрация символов ' & + / * вполне имхо достаточна
$var=stripslashes(htmlentities($var, ENT_QUOTES));
И никаких sql inj и xss быть не может
|
|
|

01.01.2008, 23:07
|
|
[Лишённый самовыражени
Регистрация: 16.01.2005
Сообщений: 1,787
С нами:
11217866
Репутация:
3812
|
|
Сообщение от .:EnoT:.
лично я против xss использую не только htmlspecialchars() но и stripslashes()
а против sql-inj
PHP код:
$_POST['a'] = str_replace("'","", $_POST['a']);
$_POST['a'] = str_replace("&","", $_POST['a']);
$_POST['a'] = str_replace("+","",$_POST['a']);
$_POST['a'] = str_replace("/","",$_POST['a']);
$_POST['a'] = str_replace("*","",$_POST['a']);
фильтрация символов ' & + / * вполне имхо достаточна
нуну, а если код типа
PHP код:
$query="select hek_title,hek_header,hek_footer from hek_temp where hek_id=".$_POST;
?)
при
Код:
id=-1 union select hek_name,hek_password,hek_mail from hek_users
всё будет норм выполняться
__________________
|
|
|
|
 |
|
Предыдущая тема
Следующая тема
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|