Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: защита от xss

PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

защита от xss

Форумы портала PHP.SU » PHP » Программирование на PHP » Вопросы новичков (Модераторы: OrmaJever, Саныч, Строитель)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

kuller	Отправлено: 23 Февраля, 2013 - 08:25:58
Частый посетитель Покинул форум Сообщений всего: 561 Дата рег-ции: Нояб. 2009 Помог: 2 раз(а)	взял функцию защиты от xss атак с движка dle. PHP: скопировать код в буфер обмена function check_xss() { $url = html_entity_decode(urldecode($_SERVER['QUERY_STRING'])); $url = str_replace("\\", "/", $url); if($url) { if((strpos($url, '<') !== false) \|\| (strpos($url, '>') !== false) \|\| (strpos($url, '"') !== false) \|\| (strpos($url, './') !== false) \|\| (strpos($url, '../') !== false) \|\| (strpos( $url, '\'') !== false) \|\| (strpos($url, '.php') !== false)) { if($_GET['do'] != "search" or $_GET['subaction'] != "search") die("Hacking attempt!"); } } $url = html_entity_decode(urldecode($_SERVER['REQUEST_URI'])); $url = str_replace("\\", "/", $url); if($url) { if((strpos($url, '<') !== false) \|\| (strpos( $url, '>' ) !== false) \|\| (strpos($url, '"') !== false) \|\| (strpos($url, '\'') !== false)) { if($_GET['do'] != "search" or $_GET['subaction'] != "search") die("Hacking attempt!"); } } } кроме этого все данные пулучаемые от пользователя обробатываю следущим образом PHP: скопировать код в буфер обмена $url = htmlspecialchars($url); $search = array('\|', '\'', '$', '\\', '^', '%', '`', "\0", "\x00", "\x1A", "??????"); $replace = array('\|', ''', '$', '\', '^', '%', '`', '', '', '', ''); $url = str_replace($search, $replace, $url); $url = strip_tags(stripslashes(addslashes(trim($url)))); и вроде все работает. если написать в адресной строке CODE (javascript): скопировать код в буфер обмена <script>alert('xss');</script> или CODE (javascript): скопировать код в буфер обмена <script>alert("cookie: "+document.cookie)</script> защита сробатывает, а вот если сделать чпу то код CODE (javascript): скопировать код в буфер обмена <script>alert("cookie: "+document.cookie)</script> защита не сробатывает. Почему так получается что без чпу все работает отлично, а с чпу защиты нет? (в dle тоже самое с защитой во всех версиях) (Отредактировано автором: 23 Февраля, 2013 - 08:31:37)

kuller	Отправлено: 23 Февраля, 2013 - 19:52:45
Частый посетитель Покинул форум Сообщений всего: 561 Дата рег-ции: Нояб. 2009 Помог: 2 раз(а)	залил на сервер, там работает. Может тогда у денвера php.ini надо ченибуть изменить?

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Вопросы новичков »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.