Гуестбук от меня

Гуестбук от меня

11.09.2007, 16:13

scrat

Постоянный

Регистрация: 08.04.2007

Сообщений: 853

С нами: 10048706

Репутация: 1540

Гуестбук от меня

Guestbook by scrat
Вот тока что написал.Прошу оценить/дать советы по:
1.Анти- sql-inj в add.php
2.Анти-xss в view.php
скачать
Всё что нужно для установки в config.php
пс в img.php будет генерация каринок для антифлуда

𝕏 Twitter Reddit Telegram Копировать ссылку

11.09.2007, 16:25

ant0ha

Участник форума

Регистрация: 22.05.2007

Сообщений: 144

С нами: 9985348

Репутация: 119

Так в принципе не плохо, SQL-inj нету, а чтобы небыло XSS проверяй на валидность все данные перед добавлением в базу =)

11.09.2007, 18:04

Isis

Флудер

Регистрация: 20.11.2006

Сообщений: 3,315

С нами: 10248806

Репутация: 2371

Цитата:

Сообщение от ant0ha

Логичнее было бы проверять их перед выводом

11.09.2007, 16:37

n1†R0x

Постоянный

Регистрация: 20.01.2007

Сообщений: 787

С нами: 10160966

Репутация: 1719

Мдя.

1. инсталляшку вручную писать? можно было бы хотя бы скуль-запросы вынести в отдельный файл.
2. мде, strpos'ом умно делать анти-xss и антискуль
xss: striptags(); htmlspecialchars(); htmlentities();
sql: mysql_escape_string(); mysql_real_escape_string;

3. фильтровать твоим способом нужно не только "`", но и другие кавычки.
4. аналогично c XSS, если ты полагаешь, что все XSSки содержат <.script>, ты глубоко заблуждаешься.

вообще продукты нужно писать с учетом конфигурации сервера, для начала, с учетом результата get_magic_quotes_gpc

резюме: бажный недопроект. не в обиду, но над ним еще работать и работать...

Цитата:

Сообщение от Sn@k3

Помница кто-то тоже кидал какой-то свой софт и типа скуль запросы самому вводить =) не ты ли нитрех?))))))) аяяй))))
ладно-ладно хватит парня апсирать, ы и так наем, что ты мега программер =)))

ты меня с кем-то путаешь определенно. Nitrex из ру-24, между прочим, совершенно другой чел.

"апсирания" я не вижу, но выкладывать небезопасные скрипты на форуме по безопасности не совсем логично.

Последний раз редактировалось n1†R0x; 11.09.2007 в 16:44..

11.09.2007, 16:40

Sn@k3

Познавший АНТИЧАТ

Регистрация: 13.04.2006

Сообщений: 1,738

С нами: 10566621

Репутация: 1198

11.09.2007, 16:42

scrat

Постоянный

Регистрация: 08.04.2007

Сообщений: 853

С нами: 10048706

Репутация: 1540

Цитата:

Сообщение от Sn@k3

так я и просил "обосрать"(оценить/дать советы) в первом посте

11.09.2007, 16:51

~~gemaglabin~~

Banned

Регистрация: 01.08.2006

Сообщений: 725

С нами: 10408706

Репутация: 4451

PHP код:


		
			
    if(strpos($_POST['name'],"`")||strpos($_POST['email'],"`")||strpos($_POST['msg'],"'")) echo "<H4>ANTI HAKA-HAKA!!!</H4>";

    else

    if(mysql_query("insert into gb values(\"".$_POST['name']."\",\"".$_POST['email']."\",\"".$_POST['msg']."\");")) echo "Запись успешно добавлена!<br><a href=\"view.php\">Просмотреть записи</a>";

Ты используешь двойные ковычки а фильтруешь одинарные...

PHP код:


		
			
if(strpos($f['name'],"<script>")||strpos($f['email'],"<script>")||strpos($f['msg'],"<script>")) echo "<H4>ANTI HAKA-HAKA!!!</H4>";

Для осуществления xss не обязательно открывать тег script

11.09.2007, 16:54

scrat

Постоянный

Регистрация: 08.04.2007

Сообщений: 853

С нами: 10048706

Репутация: 1540

вот с нормальной фильтрацией:
http://dump.ru/files/j/j3889184444/
пс инсталлер будет вместе с img.php

Последний раз редактировалось scrat; 11.09.2007 в 16:57..

11.09.2007, 16:57

sxsanti

Познающий

Регистрация: 24.08.2007

Сообщений: 65

С нами: 9850037

Репутация: 1

да ничего, плохо смайлов нету=((((

Последний раз редактировалось sxsanti; 11.09.2007 в 17:02..

#10

11.09.2007, 16:59

~~gemaglabin~~

Banned

Регистрация: 01.08.2006

Сообщений: 725

С нами: 10408706

Репутация: 4451

Там опять нету фильтрации.

Надо приравнивать значение , функция возвращает значение а не изменяет его

PHP код:


		
			
strip_tags($_POST['name']);

PHP код:


		
			
$_POST['name'] = strip_tags($_POST['name']);

Создать сделку

Мои сделки

Сделка

ESCROW ADMIN PANEL