הוסטס - פורום אחסון האתרים הגדול בישראל

- פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)

- - [PHP] טיפול קלט (https://hosts.co.il/forums/showthread.php?t=57445)

[PHP] טיפול קלט

עריכה:
הנושא היה אמור להיות טיפול בקלט :P
שלום,
יש לי תופס שבו המשתמש שולח מידע ואני מעביר אותו ככה

PHP קוד:


		
			
$content= $_POST['msg'];
$content= html_entity_decode($content);
$tags    = "<p><h1><font><ol><ul><li><hr>"
        ."<blockquote><a><img><embed><strong>"
        ."<em><u><strike><sup><sub>";
$content= strip_tags($content,$tags);

ובכל זאת משתמשים מצליחים להחדיר תגים שהstrip_tags אמור להוריד... מה עושים?
תודה מראש
כפיר

התיאור פה מתאים לבעיה שלך אני חושב: http://marc.info/?l=bugtraq&m=108981589117423.

שוב טעות נפוצה במקום לאפשר הכל ולחסום חלק.
תחסום הכל ותאפשר חלק.
או אם אתה רוצה לחסום את כל הHTML תשתמש בhtmlspecialchars()

ציטוט:

נכתב במקור על ידי Meir (פרסם 586902)

התיאור פה מתאים לבעיה שלך אני חושב: http://marc.info/?l=bugtraq&m=108981589117423.

יכול להיות שככה משתמשים מצליחים לעקוף את זה ויכול להיות שלא...
בכל מקרה לא ממש הצלחתי למצוא את הפתרון עצמו לבעיה בעמוד הזה... ממה שהבנתי זאת
http://security.e-matters.de/gpg_key.asc
אמורה להיות הצפנה של הפתרון אבל לא ממש הבנתי איך לבטל את ההצפנה...
בכל מקרה תודה על העזרה ואני אשמח לשמוע הצעות נוספות לפתרון :)

ציטוט:

נכתב במקור על ידי DanielS (פרסם 586912)

במקרה שלא שמת לב אני חסמתי הכל ואפשרתי חלק... רשימת התגים בTAGS אלו הם התגים המותרים! לשימוש כל השאר אסורים...

תנסה את זה:

PHP קוד:


		
			
<?php
$string = 'test tag <script> and <p>';

function check_tag($tag) {
    if (in_array(str_replace('/', '', $tag), array('p', 'b', 'hr', 'a'))) {
        return '<'.$tag.'>';
    }
    return false;
}

echo preg_replace('/<(.*?)>/ie', 'check_tag("\\1")', $string);
?>

ציטוט:

נכתב במקור על ידי Meir (פרסם 586923)

תנסה את זה:

PHP קוד:


		
			
<?php

$string = 'test tag <script> and <p>';



function check_tag($tag) {

    if (in_array(str_replace('/', '', $tag), array('p', 'b', 'hr', 'a'))) {

        return '<'.$tag.'>';

    }

    return false;

}



echo preg_replace('/<(.*?)>/ie', 'check_tag("\\1")', $string);

?>

לא עובד לי...
ד"א מה בדיוק עושה \\1?

מעביר את התוצאה מהביטוי הרגולרי לפונקציה, שים לב שהפונקציה מאפשרת רק את התגים שנמצאים במערך בתוך הפונקציה delete כלומר רק את: p, b, hr וa.

ותוסיף את התיקון הבא:

PHP קוד:


		
			
str_replace(array('/', ' '), '', $tag)

כי יש תגים שנוהגים להכניס בהם רווח כמו hr.

ציטוט:

נכתב במקור על ידי Meir (פרסם 586943)

PHP קוד:


		
			
str_replace(array('/', ' '), '', $tag)

כי יש תגים שנוהגים להכניס בהם רווח כמו hr.

בכל מקרה הפונקציה שלך מורידה את הכל חוץ מ <שם התג> וזה לא מה שאני צריך... אני צריך שאם זה תג מאושר הכל ישאר...

ברגע שאתה מאפשר תג אחד-הכל פרוץ. תשתמש ב-htmlspecialchars.

ציטוט:

נכתב במקור על ידי kfir_dnd (פרסם 586967)

בכל מקרה הפונקציה שלך מורידה את הכל חוץ מ <שם התג> וזה לא מה שאני צריך... אני צריך שאם זה תג מאושר הכל ישאר...

http://lives.co.il/kfir.php