![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 1 660 Pomógł: 13 Dołączył: 9.06.2004 Skąd: Wrocław i okolice Ostrzeżenie: (0%) ![]() ![]() |
Tak sobie myślę, że w większości for jest podpis użytkownika. Niektóre fora nie filtrują podpisów (np. mogę dać w podpisie obrazek itp.) a jakby tak dać:
To się chyba nazywa atak XSS. Jak się przed tym zabezpieczyć, aby np. akceptował obrazki, odnośniki itp. a nie akceptował "złych skryptów"? |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 398 Pomógł: 0 Dołączył: 13.07.2005 Skąd: Lublin Ostrzeżenie: (0%) ![]() ![]() |
Wrócę może do tego tematu bo mam konkretne pytanie do tego posta - chodzi mi o to czy wystarczy walidować każdą otrzymaną zmienną funkcją htmlspecialchars, żeby nie można było wykonać kod np. java script albo wstawić kod php?(IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) Chodzi mi dokladnie o cos takiego. mamy strone:
index.php?roz=<a href="http://sotrna/zlosliwy_kod.php"></a>
Czy jak użyje htmlspecialchars($roz) to uchroni mnie to na 100% przed atakiem wpisania w zmienna złośliwego kodu?? Ten post edytował gladiror 10.07.2007, 19:38:42 |
|
|
![]() ![]() |
![]() |
Aktualny czas: 5.10.2025 - 22:54 |