ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
01.01.2008, 22:01
|
|
Banned
Регистрация: 30.03.2007
Сообщений: 344
Провел на форуме:
5149122
Репутация:
2438
|
|
вобщем ты получил ответ на свой вопрос,если что пусть Исис расскажет что оон хотел сказать...)
|
|
|
01.01.2008, 22:03
|
|
Постоянный
Регистрация: 11.11.2006
Сообщений: 595
Провел на форуме:
1845062
Репутация:
1079
|
|
Сообщение от Isis
Охохо...если вы думаете что htmlspecialchars спасает от всего, то вы горекодеры...
Угу, а ты попробуй обойди htmlspecialchars, хватит тут выпендриваться.
|
|
|
|
01.01.2008, 22:06
|
|
Постоянный
Регистрация: 30.08.2007
Сообщений: 773
Провел на форуме:
3069349
Репутация:
808
|
|
Указать кодировку в мета-тэге, например:
Код:
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
Выводятся в виде хтмл кода.
Я имел ввиду, что они могли быть:
- в тэге <title>,
- в тэгах <div>, <span>, и т.д,
- в тэгах <style>, <script> (omg),
- в названии атрибута тэга,
- в значении атрибута тэга.
От этого зависят правила фильтрации. |
|
|
|
01.01.2008, 22:11
|
|
Banned
Регистрация: 11.08.2006
Сообщений: 1,522
Провел на форуме:
5128756
Репутация:
2032
|
|
Я имел ввиду, что они могли быть:
ничего такого нет.
вобщем ты получил ответ на свой вопрос,если что пусть Исис расскажет что оон хотел сказать...)
а вдруг я сделаю, а исис меня похекает? 
с кавычками так?
PHP код:
$var = str_replace('"', "", $var);
$var = str_replace("'", "", $var);
зы у меня кодировка windows-1251
Последний раз редактировалось Piflit; 01.01.2008 в 22:15..
|
|
|
|
01.01.2008, 22:12
|
|
Постоянный
Регистрация: 11.11.2006
Сообщений: 595
Провел на форуме:
1845062
Репутация:
1079
|
|
Сообщение от astrologer
Указать кодировку в мета-тэге, например:
Код:
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
Я имел ввиду, что они могли быть:
- в тэге <title>,
- в тэгах <div>, <span>, и т.д,
- в тэгах <style>, <script> (omg),
- в названии атрибута тэга,
- в значении атрибута тэга.
От этого зависят правила фильтрации. В принципе, если я правильно помню, атака с помощью utf-7 может быть только там, где не установлена кодировка в хедере, в мета-тегах и utf-7 идет с самого начала, иначе кодировкой данной страницы считается кодировка первого встреченного текста. Я прав?
|
|
|
|
01.01.2008, 22:15
|
|
Banned
Регистрация: 30.03.2007
Сообщений: 344
Провел на форуме:
5149122
Репутация:
2438
|
|
непохекает,мы его подкупим))
|
|
|
|
01.01.2008, 22:16
|
|
Постоянный
Регистрация: 11.11.2006
Сообщений: 595
Провел на форуме:
1845062
Репутация:
1079
|
|
Сообщение от Piflit
ничего такого нет.
а вдруг я сделаю, а исис меня похекает? Если ты параноик, юзай перед добавлением base64_encode, а перед выводом - htmlentities( strip_tags(base64_decode()),ENT_QUOTES)
|
|
|
|
01.01.2008, 22:43
|
|
Постоянный
Регистрация: 29.05.2007
Сообщений: 852
Провел на форуме:
4832771
Репутация:
1916
|
|
лично я против xss использую не только htmlspecialchars() но и stripslashes()
а против sql-inj
PHP код:
$_POST['a'] = str_replace("'","", $_POST['a']);
$_POST['a'] = str_replace("&","", $_POST['a']);
$_POST['a'] = str_replace("+","",$_POST['a']);
$_POST['a'] = str_replace("/","",$_POST['a']);
$_POST['a'] = str_replace("*","",$_POST['a']);
фильтрация символов ' & + / * вполне имхо достаточна |
|
|
|
01.01.2008, 22:47
|
|
Постоянный
Регистрация: 11.11.2006
Сообщений: 595
Провел на форуме:
1845062
Репутация:
1079
|
|
Сообщение от .:EnoT:.
лично я против xss использую не только htmlspecialchars() но и stripslashes()
а против sql-inj
PHP код:
$_POST['a'] = str_replace("'","", $_POST['a']);
$_POST['a'] = str_replace("&","", $_POST['a']);
$_POST['a'] = str_replace("+","",$_POST['a']);
$_POST['a'] = str_replace("/","",$_POST['a']);
$_POST['a'] = str_replace("*","",$_POST['a']);
фильтрация символов ' & + / * вполне имхо достаточна $var=stripslashes(htmlentities($var, ENT_QUOTES));
И никаких sql inj и xss быть не может
|
|
|
|
01.01.2008, 23:07
|
|
[Лишённый самовыражени
Регистрация: 16.01.2005
Сообщений: 1,787
Провел на форуме:
9751379
Репутация:
3812
|
|
Сообщение от .:EnoT:.
лично я против xss использую не только htmlspecialchars() но и stripslashes()
а против sql-inj
PHP код:
$_POST['a'] = str_replace("'","", $_POST['a']);
$_POST['a'] = str_replace("&","", $_POST['a']);
$_POST['a'] = str_replace("+","",$_POST['a']);
$_POST['a'] = str_replace("/","",$_POST['a']);
$_POST['a'] = str_replace("*","",$_POST['a']);
фильтрация символов ' & + / * вполне имхо достаточна нуну, а если код типа
PHP код:
$query="select hek_title,hek_header,hek_footer from hek_temp where hek_id=".$_POST['id'];
?)
при
Код:
id=-1 union select hek_name,hek_password,hek_mail from hek_users
всё будет норм выполняться
__________________
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
