Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> [php] kasowanie javascript ze stringa
marcinek37
post 4.10.2012, 22:54:49
Post #1





Grupa: Zarejestrowani
Postów: 239
Pomógł: 0
Dołączył: 2.06.2011

Ostrzeżenie: (0%)
----- 

[PHP] pobierz, plaintext 
  1. function strip_script($string) {
  2. $string = preg_replace("/<script[^>]*>.*?< *script[^>]*>/i", "", $string);
  3. $string = preg_replace("/<script[^>]*>/i", "", $string);
  4. return $string;
  5. }
[PHP] pobierz, plaintext


czy taka funkcja wystarczy, aby każdy skrypt usunąć ze stringa?
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
sowiq
post 5.10.2012, 10:11:41
Post #2





Grupa: Zarejestrowani
Postów: 1 890
Pomógł: 339
Dołączył: 14.12.2006
Skąd: Warszawa

Ostrzeżenie: (0%)
-----

Nie wystarczy.
Kod
<<script>script>alert('1')</script>


Masz złe podejście. Zamiast robienia blacklisty i usuwania rzeczy w niej zawartej powinieneś zrobić whitelistę i usuwać wszystko, czego na niej nie ma. "Atakujący" zawsze może wymyślić coś, o czym Ty nie pomyślałeś. Chociażby
Kod
<img src="java script:alert(1)" />
Ten kod nie zadziała na teraźniejszych przeglądarkach, ale na starszych najprawdopodobniej tak.

Jeszcze raz polecam http://htmlpurifier.org/ bo to na prawdę dobre i sprawdzone rozwiązanie.

[edit]
Forum automatycznie rozdziela spacją javascript w tagu img powyżej

Ten post edytował sowiq 5.10.2012, 10:14:54
Go to the top of the page
+Quote Post

Posty w temacie
- marcinek37   [php] kasowanie javascript ze stringa   4.10.2012, 22:54:49
- - sowiq   Jeżeli potrzebujesz jakiegoś "czyściciela...   5.10.2012, 08:04:30
- - marcinek37   wystarczy mi usunięcie <script> czy ww. kod...   5.10.2012, 09:57:05
- - sowiq   Nie wystarczy. Kod<<script>script...   5.10.2012, 10:11:41
- - marcinek37   właśnie to za dużo, co polecasz chcę jedynie, aby ...   5.10.2012, 10:33:50
- - sowiq   Jeśli to ma być edytor dla użytkowników strony, to...   5.10.2012, 10:51:33
- - marcinek37   wszystko jest pod kontrolą, prócz JS - nie chcę Wa...   5.10.2012, 11:32:24
- - sowiq   Jeśli chcesz się skupić jedynie na tagach <scr...   5.10.2012, 11:37:38
- - darko   W pliku konfiguracyjnym fckconfig.js ustaw FCKConf...   5.10.2012, 11:52:15
- - sowiq   @darko, filtrowanie client-side nie daje praktyczn...   5.10.2012, 12:02:04
- - marcinek37   dlatego szukam funkcji typowo php - czy ta zasugro...   5.10.2012, 12:04:34
|- - sowiq   Cytat(marcinek37 @ 5.10.2012, 13:04:3...   5.10.2012, 12:20:34
- - Crozin   W pierwszym poście dostałeś na tacy podane gotowe ...   5.10.2012, 12:10:56

« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Wersja Lo-Fi Aktualny czas: 14.08.2025 - 20:11
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn