Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Спец. символы в урл

PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Спец. символы в урл

Форумы портала PHP.SU » PHP » Программирование на PHP » Вопросы новичков (Модераторы: OrmaJever, Саныч, Строитель)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

resik	Отправлено: 27 Июля, 2016 - 10:26:02
Новичок Покинул форум Сообщений всего: 51 Дата рег-ции: Дек. 2013 Помог: 0 раз(а)	Подскажите, какие из символов лучше вырезать, а какие кодировать. К примеру имеем статью с название: CODE (htmlphp): скопировать код в буфер обмена Новая статья~!@#$&%^()=-_:\/,:;\|?{}+"'`<> Формируем урл статьи из ее названия функцией: PHP:* скопировать код в буфер обмена /** * @param $str - название статьи * @return кодированная часть для урл / function str2url( $str ) { // какие не желательные вырезать // какие кодировать return strtolower( rawurlencode( $str ) ); } (Отредактировано автором: 27 Июля, 2016 - 10:29:47)*

Мелкий	Отправлено: 27 Июля, 2016 - 11:16:45
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	urlencode и rawurlencode обеспечивают корректное представление в URI любых данных. Даже бинарных. ----- PostgreSQL DBA

resik	Отправлено: 27 Июля, 2016 - 20:22:13
Новичок Покинул форум Сообщений всего: 51 Дата рег-ции: Дек. 2013 Помог: 0 раз(а)	Сравнил работу этих функций, и понял, что ни чего не понял PHP: скопировать код в буфер обмена $str = 'Новая статья~!@#$&%^()=-_:\/,:;\|?{}+"\'`<>'; echo urlencode( $str ); // %D0%9D%D0%BE%D0%B2%D0%B0%D1%8F+%D1%81%D1%82%D0%B0%D1%82%D1%8C%D1%8F%7E%21%40%23%24%26%2A%25%5E%28%29%3D-_%3A%5C%2F%2C%3A%3B%7C%3F%7B%7D%2B%22%27%60%3C%3E echo rawurlencode( $str ); // %D0%9D%D0%BE%D0%B2%D0%B0%D1%8F%20%D1%81%D1%82%D0%B0%D1%82%D1%8C%D1%8F~%21%40%23%24%26%2A%25%5E%28%29%3D-_%3A%5C%2F%2C%3A%3B%7C%3F%7B%7D%2B%22%27%60%3C%3E Как то не совсем понятно, почему rawurlencode не кодирует тильду. Еще не устраивает замена пробела на + у urlencode. Что лучше, менять пробел на %20 при urlencode, или же тильду на %7E при rawurlencode? Или присмотреться к FILTER_SANITIZE_ ? Ох уж эти урлы (Отредактировано автором: 27 Июля, 2016 - 20:26:53)

Мелкий	Отправлено: 27 Июля, 2016 - 21:28:22
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	Не лезть и ничего не менять. Правильны оба. Потому что RFC разные. http://www[dot]faqs[dot]org/rfcs/rfc3986[dot]html http://www[dot]faqs[dot]org/rfcs/rfc1738[dot]html php распаковывает входящий query string через urldecode, который корректно разберёт оба варианта. ----- PostgreSQL DBA

Fart	Отправлено: 27 Июля, 2016 - 21:45:17
Посетитель Покинул форум Сообщений всего: 324 Дата рег-ции: Июль 2016 Помог: 10 раз(а)	символы тебе нужно фильтровать на сервере. 1. какие именно в ссылке вырезать? тот кто тебя будет ломать, он не будет использовать твои ссылки. подделать ссылку хацкеру не составит труда. 2. какие символы вырезать? вырезайте те, которые тебе не нравятся. можно не вырезать, а экранировать или менять их на хтмл представления. 3. кодировать ссылки? незачем. просто тебе могут прислать кодированную ссылку, а ты ее должен раскодировать из за известных причин!!!

resik	Отправлено: 27 Июля, 2016 - 21:46:11
Новичок Покинул форум Сообщений всего: 51 Дата рег-ции: Дек. 2013 Помог: 0 раз(а)	Мелкий пишет: Не лезть и ничего не менять. Правильны оба. Потому что RFC разные. http://www[dot]faqs[dot]org/rfcs/rfc3986[dot]html http://www[dot]faqs[dot]org/rfcs/rfc1738[dot]html php распаковывает входящий query string через urldecode, который корректно разберёт оба варианта. Что значит не лезть? Я же не какой то левый двиг переписываю. По этому хочется разобраться что преобразовывать, что вырезать и чем.

Мелкий	Отправлено: 27 Июля, 2016 - 22:38:43
Активный участник Покинул форум Сообщений всего: 11926 Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург Помог: 618 раз(а)	resik пишет: По этому хочется разобраться что преобразовывать Ну так вот RFC. Разбирайте. Реализация: rawurlencode https://github[dot]com/php/php-src/b[dot][dot][dot]ndard/url[dot]c#L624 urlencode https://github[dot]com/php/php-src/b[dot][dot][dot]ndard/url[dot]c#L502 ----- PostgreSQL DBA

resik	Отправлено: 27 Июля, 2016 - 23:01:52
Новичок Покинул форум Сообщений всего: 51 Дата рег-ции: Дек. 2013 Помог: 0 раз(а)	Мелкий, за ссылки на исходники функций при много благодарен. (Отредактировано автором: 27 Июля, 2016 - 23:02:55)

resik	Отправлено: 28 Июля, 2016 - 02:45:16
Новичок Покинул форум Сообщений всего: 51 Дата рег-ции: Дек. 2013 Помог: 0 раз(а)	Решил сделать так: PHP: скопировать код в буфер обмена function str2url( $str ) { $pattern = preg_quote( '#$%^&!@()_&+=`-[]\';,./{}\|\":<>?~', '#' ); $str = preg_replace( "#[{$pattern}]#", '-', $str ); $str = preg_replace( '/\\s+/', '-', $str ); $str = preg_replace( '/-+/', '-', $str ); return strtolower( rawurlencode( trim( $str, '-' ) ) ); } $name = "-Новая - статья~!@#$&%^()=-_:\/,:;\|{}+\"\'`?var=val-"; $url = str2url( $name ); echo '<a href="/article/'.$url.'/">'.$name.'</a>'; // html: <a href="/article/%d0%9d%d0%be%d0%b2%d0%b0%d1%8f-%d1%81%d1%82%d0%b0%d1%82%d1%8c%d1%8f-var-val/">-Новая - статья~!@#$&%^()=-_:\/,:;\|{}+"\'`?var=val-</a> // при наведении и в адресной строке: site.ru/article/Новая-статья-var-val/ Может и не правильный подход, но вроде как желаемое достигнуто (Отредактировано автором: 28 Июля, 2016 - 07:30:20)*

Fart	Отправлено: 31 Июля, 2016 - 10:41:03
Посетитель Покинул форум Сообщений всего: 324 Дата рег-ции: Июль 2016 Помог: 10 раз(а)	если ты такой код будешь добавлять себе на сайт, то юзер с XSS будет очень рад тебя удивить!!! вот результат твоей выборки PHP: скопировать код в буфер обмена function str2url( $str ) { $pattern = preg_quote( '#$%^&!@()_&+=`-[]\';,./{}\|\":<>?~', '#' ); $str = preg_replace( "#[{$pattern}]#", '-', $str ); $str = preg_replace( '/\\s+/', '-', $str ); $str = preg_replace( '/-+/', '-', $str ); return strtolower( rawurlencode( trim( $str, '-' ) ) ); } $name = "<script>alert('Ты взломан');</script>"; $url = str2url( $name ); echo '<a href="/article/'.$url.'/">'.$name.'</a>'; (Отредактировано автором: 31 Июля, 2016 - 10:43:32)*

resik	Отправлено: 01 Августа, 2016 - 20:36:50
Новичок Покинул форум Сообщений всего: 51 Дата рег-ции: Дек. 2013 Помог: 0 раз(а)	Fart пишет: если ты такой код будешь добавлять себе на сайт, то юзер с XSS будет очень рад тебя удивить!!! вот результат твоей выборки PHP: скопировать код в буфер обмена function str2url( $str ) { $pattern = preg_quote( '#$%^&!@()_&+=`-[]\';,./{}\|\":<>?~', '#' ); $str = preg_replace( "#[{$pattern}]#", '-', $str ); $str = preg_replace( '/\\s+/', '-', $str ); $str = preg_replace( '/-+/', '-', $str ); return strtolower( rawurlencode( trim( $str, '-' ) ) ); } $name = "<script>alert('Ты взломан');</script>"; $url = str2url( $name ); echo '<a href="/article/'.$url.'/">'.$name.'</a>'; А причем тут юзер? Данная функция доступна только админу при добавлении статьи. Вы сами то будете писать XSS в заголовки своих статей? Ну а если замучает паранойя, отфильтрую примерно так: PHP:* скопировать код в буфер обмена $name = "<script>alert('Ты взломан');</script>"; $name = htmlspecialchars( strip_tags( $name ) );

Fart	Отправлено: 01 Августа, 2016 - 22:27:55
Посетитель Покинул форум Сообщений всего: 324 Дата рег-ции: Июль 2016 Помог: 10 раз(а)	Не думаю, что твой ресурс кому то будет нужен, ну, если только поржать чисто, а вот социальную инженерию никто не отменял. Интересно будет на твой ресурс поглядеть, когда тебя коснется эта тема, с такой то логикой (Отредактировано автором: 01 Августа, 2016 - 22:29:42)

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Вопросы новичков »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.