Какие есть минусы у htmlentities? — ANTICHAT Forum

FORUMS

MEMBERS

RECENT POSTS

LOG IN

УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ

loading...

Скрыть

		ANTICHAT > ПРОГРАММИРОВАНИЕ > PHP
Какие есть минусы у htmlentities?

Закрытая тема

Опции темы

Поиск в этой теме

Опции просмотра

Какие есть минусы у htmlentities?

#1

Старый

15.05.2009, 17:40

Аватар для strecher

strecher

Новичок

Регистрация: 22.11.2005

Сообщений: 13

С нами: 10771543

Репутация: 3

По умолчанию

Какие есть минусы у htmlentities?

Есть ли какие либо проблемы с использованием данного кода для фильтрации запросов? Если да, то какие. Использую PHP + MySQL.
В данный момент это самый безопасный (инхо) метод фильтрации запросов который я нашёл. Инклуд в начало каждого скрипта который обрабатывает запросы.
Спасибо.

PHP код:


		
			
function antixss($str) {

$str = htmlentities($str, ENT_QUOTES);

return $str;

}



foreach($_POST as $name => $value) {

$_POST[$name] = antixss($value);}

foreach($_GET as $name => $value) {

$_GET[$name] = antixss($value);}

P.S. Если минусов нет, то почему все не пользуются этой функцией?

𝕏 Twitter Reddit Telegram Копировать ссылку

#2

Старый

15.05.2009, 17:46

Аватар для Dimi4

Dimi4

Reservists Of Antichat - Level 6

Регистрация: 19.03.2007

Сообщений: 953

С нами: 10077446

Репутация: 3965

По умолчанию

самое банальное, если у тебя запрос типа:

Код:

SELECT * from table where id=$_GET['id']

то толку от твоей функции ноль

А также если в скрипте юзаются бинарно зависимые функции, она не спасет. Например инклуд (на %00 не отреагирует)

__________________

BlackHat.

MoDL

Последний раз редактировалось Dimi4; 15.05.2009 в 17:50..

#3

Старый

15.05.2009, 17:51

Аватар для Sharky

Sharky

Познавший АНТИЧАТ

Регистрация: 01.05.2006

Сообщений: 1,021

С нами: 10541186

Репутация: 921

По умолчанию

лучше уж тогда htmlspecialchars

#4

Старый

15.05.2009, 18:04

Аватар для Dimi4

Dimi4

Reservists Of Antichat - Level 6

Регистрация: 19.03.2007

Сообщений: 953

С нами: 10077446

Репутация: 3965

По умолчанию

От хсс тоже не всегда спасет. Представим что у тебя скрипт обрабатывает этой функцией бб коды.
например:

Код:

[colo r=$_GET['color']]$_GET['text'][/ color]

превращается в

Код:

<font style="color: $_GET['color']">$_GET['text']</font>

Вот хсс:

Код:

[colo r=green; background:url\(javascript:eval(alert(1))]qe[/ color]

будет:

Код:

<font style="color: green; background:url\(javascript:eval(alert(1)))">qe</font>

__________________

BlackHat.

MoDL

#5

Старый

15.05.2009, 18:15

Аватар для astrologer

astrologer

Постоянный

Регистрация: 30.08.2007

Сообщений: 773

С нами: 9840758

Репутация: 808

По умолчанию

Про "фильтрацию" есть прикреплённая тема: статья про анти sql-inj.

#6

Старый

15.05.2009, 18:45

Аватар для nerezus

nerezus

Флудер

Регистрация: 12.08.2004

Сообщений: 3,791

С нами: 11444066

Репутация: 2290

По умолчанию

Цитата:

P.S. Если минусов нет, то почему все не пользуются этой функцией?

Потому что это бред полный.
Ты портишь входящие данные.

Данные портить нельзя. Данные надо правильно использовать.

Закрытая тема

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Faq по Icq-хакингу	ОТЕЦ	Skype, IRC, ICQ, Jabber и другие IM	3	11.01.2007 16:26
Какие Уязвимости есть в Iconboard?	Fr1k	Уязвимости CMS / форумов	10	25.11.2006 14:27

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход

Terms and Rules

ANTICHAT ™ © 2001- Antichat Kft.