הוסטס - פורום אחסון האתרים הגדול בישראל

עמוד 1 מתוך 2

הצג 40 הודעות באשכול על דף אחד

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - [PHP] אבטחה... (https://hosts.co.il/forums/showthread.php?t=54785)

ShLooK

07-10-07 22:43

[PHP] אבטחה...

יש לי נגיד את הקוד הבא:

PHP קוד:


		
			
            $username=$_POST['username'];

            htmlspecialchars($username);

            mysql_real_escape_string($username);

אבל עדיין אם אני מכנס נגיד <script>, זה דופק את האתר...
מה אפשר לעשות?

Gal Shafrir

07-10-07 22:46

להחליף את המילה הזאת בכלום..

PHP קוד:


		
			
<?php

    $text = str_replace("<script>","",$text);

?>

Tomer

07-10-07 23:29

striptags / htmlspecialchars

חיים	08-10-07 07:40

ציטוט:

נכתב במקור על ידי Tomer (פרסם 564554)

striptags / htmlspecialchars

תומר הוא צריך להעיף רק את ה<script> ולא את כל התגים |Lol|
תעשה כמו שאמרו לך למעלה:

PHP קוד:


		
			
$text = eregi_replace("<script(.*)>","",$text); 
$text = eregi_replace("</script>","",$text);

תנסה משהוא כזה ;P
אני לא כל כך טוב בביטויים רגולריים אבל זה מה שאנ ייודע :D

Elad-A

08-10-07 08:27

ואם כבר אז ככה:

PHP קוד:


		
			


function clean($string)

{

    return preg_replace('/<(script|style)[^>]*>[^<]*<\/[^>]*(script|style)[^>]*>/Ui', '', $string);

}

זה יחליף גם את תגיות הscript וגם את style.

ShLooK

08-10-07 14:52

פצצה! תודה חברה...
אם אני אשתמש בstriptags, זה יחסום את כל התגים?

Daniel

08-10-07 15:52

נו, אף אחד לא קרא את הנושא.
יש לך טעות בקוד, תקרא ותראה.

PHP קוד:


		
			
            $username=$_POST['username'];

             $username = htmlspecialchars($username);

            $username = mysql_real_escape_string($username);

אני בטוח שאף אחד שהגיב לא באמת קרא את הנושא.

חיים	08-10-07 16:24

ציטוט:

נכתב במקור על ידי MasterT (פרסם 564661)

נו, אף אחד לא קרא את הנושא.
יש לך טעות בקוד, תקרא ותראה.

PHP קוד:


		
			
            $username=$_POST['username'];
             $username = htmlspecialchars($username);
            $username = mysql_real_escape_string($username);

אני בטוח שאף אחד שהגיב לא באמת קרא את הנושא.

חחחחחח אחי אתה זה שלא קראת בו נצטט לך אותו:

ציטוט:

יש לי נגיד את הקוד הבא:

זאת רק דוגמה חחח את הפתרון הוא קיבל אני חושב ככה שלמה אתה בכלל עונה:-/
אני לא מבין את הקטע של לענות אחרי שהבן אדם קיבל פתרון

Daniel

08-10-07 16:46

אנשים מציעים לו striptags-שזה פשוט לדלג על הבעייה,

ו-htmlspecialchars אמור לחסום גם <script> ולהפוך את זה ל-;<script&gt למיטב ידיעתי.

daMn	08-10-07 18:10

תשמע אני לא יודע מה עשית בקוד,
אבל מה שאני יודע כדי לחסום מה שאתה רוצה זה מספיק

PHP קוד:


		
			
$username = htmlspecialchars($username, ENT_QUOTES);

כל הזמנים הם GMT +2. הזמן כעת הוא 20:50.

עמוד 1 מתוך 2

הצג 40 הודעות באשכול על דף אחד