ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
21.09.2009, 13:20
|
|
Познающий
Регистрация: 23.11.2006
Сообщений: 34
Провел на форуме:
156100
Репутация:
7
|
|
Сообщение от vorona
Вобщем, попробую вопрос по другому сформулировать:
достаточно ли фильтрации одной htmlspecialchars для данных, в которых должны быть разрешены все спец. символы?
Для файла да.
|
|
|
21.09.2009, 15:10
|
|
Постоянный
Регистрация: 11.11.2006
Сообщений: 834
Провел на форуме:
3941248
Репутация:
668
|
|
m0Hze фильтрация и экранирование не одно и тоже 
|
|
|
|
21.09.2009, 16:21
|
|
Познавший АНТИЧАТ
Регистрация: 01.06.2008
Сообщений: 1,047
Провел на форуме:
5321514
Репутация:
3313
|
|
Допустим все данные из формы A сохраняются в файл B и выводятся на экран в строку C.
A:
<script>alert('xss')</script>
Затем эта форма передается на скрипт и сохраняется в файл C.
Фильтровать на сохранении ничего не надо, достаточно правильно обработать выводимую из файла строку C функцией htmlspecialchars( B);
Т.е вывод - фильтровать на выходе из файла. |
|
|
|
23.09.2009, 20:02
|
|
Участник форума
Регистрация: 07.09.2009
Сообщений: 298
Провел на форуме:
390301
Репутация:
3
|
|
А нулево
|
|
|
|
23.09.2009, 20:03
|
|
Участник форума
Регистрация: 07.09.2009
Сообщений: 298
Провел на форуме:
390301
Репутация:
3
|
|
й байт и прочяя херня?
|
|
|
|
23.09.2009, 20:49
|
|
Постоянный
Регистрация: 05.12.2004
Сообщений: 647
Провел на форуме:
1698585
Репутация:
818
|
|
vorona
ты о чем? Выражайся яснее, и думай прежде чем писать, может тогда получится выражатся одним постом.
|
|
|
|
23.09.2009, 20:56
|
|
Участник форума
Регистрация: 07.09.2009
Сообщений: 298
Провел на форуме:
390301
Репутация:
3
|
|
Об этом:
Сообщение от vorona
Вобщем, попробую вопрос по другому сформулировать:
достаточно ли фильтрации одной htmlspecialchars для данных, в которых должны быть разрешены все спец. символы?
|
|
|
|
23.09.2009, 21:37
|
|
Постоянный
Регистрация: 05.12.2004
Сообщений: 647
Провел на форуме:
1698585
Репутация:
818
|
|
Смотря для чего, если вводимые данные не будут касаться БД то хватит, иначе по обстоятельствам нужно addslashes() и на выводе stripcslashes()
ЗЫ если ты имел ввиду фильтрацию от NULL байта, то ею болеет только функции eregi() которых в пхп6 небудет уже
Последний раз редактировалось b3; 23.09.2009 в 21:42..
|
|
|
|
23.09.2009, 22:24
|
|
Участник форума
Регистрация: 07.09.2009
Сообщений: 298
Провел на форуме:
390301
Репутация:
3
|
|
Их полностью не будет? ЧТо, все кода менять или что?
|
|
|
|
23.09.2009, 23:12
|
|
Постоянный
Регистрация: 05.12.2004
Сообщений: 647
Провел на форуме:
1698585
Репутация:
818
|
|
Небудет, использование их в коде будет вызывать ошибку Ядра.
Изначально ненадо было их юзать =) |
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
