[PHP]Stare Eregi Opcje

[smietek]

W pewnym skrypcie znalazłem taki kod:

[PHP] pobierz, plaintext 
foreach ($_GET as $u_url){
if ((eregi("<[^>]*script*\"?[^>]*>", $u_url)) || (eregi("<[^>]*object*\"?[^>]*>", $u_url)) ||
(eregi("<[^>]*iframe*\"?[^>]*>", $u_url)) || (eregi("<[^>]*applet*\"?[^>]*>", $u_url)) ||
(eregi("<[^>]*meta*\"?[^>]*>", $u_url)) || (eregi("<[^>]*style*\"?[^>]*>", $u_url)) ||
(eregi("<[^>]*form*\"?[^>]*>", $u_url)) || (eregi("\([^>]*\"?[^)]*\)", $u_url)) ||
(eregi("\"", $u_url))){
die ();}}
[PHP] pobierz, plaintext 

Gdy zaczynałem uczyć się PHP, już wtedy każdy trąbił, że ereg jest przestarzałe, dlatego uczyłem się od razu pisać wyrażenia pod funkcje z rodziny preg.
Czy mógłby mi ktoś wytłumaczyć (nie chcę gotowego rozwiązania w postaci wyrażenia dla preg), czego to szuka?

[bastard13]

Tak na pierwszy rzut oka, to wydaje mi się, że sprawdza czy w zmiennej wystąpiły znaczniki html (script, meta, iframe, form,applet, object, style), jeżeli tak to kończy skrypt.

[wookieb]

A mianowicie jest to jakaś marna próba zabezpieczenia $_GET przed wymienionymi htmlowymi znacznikami albo ochrona przed xss.

[smietek]

Tak w ogóle to opłaca się jeszcze trzymać ten kod?
Oczywiście po przepisaniu go na pregi, a właściwie na jednego prega, nie potrzeba kilku...
I przy okazji, dlaczego to marna próba?

Ten post edytował smietek 13.08.2010, 18:09:17

[wookieb]

Nie warto ponieważ puszczenie xssa inną drogą nadal jest możliwe. Blokowanie xss robi sie na innych etapach. Blokowanie html-a tez na innych etapach.

[smietek]

A mógłbyś rozwinąć, na jakich to etapach (ten kod jest prawie na samym początku całego skryptu)?