[PHP] טיפול קלט - הוסטס

Kfir.G · 04-12-07, 17:16

עריכה:
הנושא היה אמור להיות טיפול בקלט :P
שלום,
יש לי תופס שבו המשתמש שולח מידע ואני מעביר אותו ככה

PHP קוד:


			
$content= $_POST['msg'];
$content= html_entity_decode($content);
$tags    = "<p><h1><font><ol><ul><li><hr>"
        ."<blockquote><a><img><embed><strong>"
        ."<em><u><strike><sup><sub>";
$content= strip_tags($content,$tags);

ובכל זאת משתמשים מצליחים להחדיר תגים שהstrip_tags אמור להוריד... מה עושים?
תודה מראש
כפיר

Meir · 04-12-07, 17:29

התיאור פה מתאים לבעיה שלך אני חושב: http://marc.info/?l=bugtraq&m=108981589117423.

DanielS · 04-12-07, 17:47

שוב טעות נפוצה במקום לאפשר הכל ולחסום חלק.
תחסום הכל ותאפשר חלק.
או אם אתה רוצה לחסום את כל הHTML תשתמש בhtmlspecialchars()

Kfir.G · 04-12-07, 17:47

ציטוט:

נכתב במקור על ידי Meir

התיאור פה מתאים לבעיה שלך אני חושב: http://marc.info/?l=bugtraq&m=108981589117423.

יכול להיות שככה משתמשים מצליחים לעקוף את זה ויכול להיות שלא...
בכל מקרה לא ממש הצלחתי למצוא את הפתרון עצמו לבעיה בעמוד הזה... ממה שהבנתי זאת
http://security.e-matters.de/gpg_key.asc
אמורה להיות הצפנה של הפתרון אבל לא ממש הבנתי איך לבטל את ההצפנה...
בכל מקרה תודה על העזרה ואני אשמח לשמוע הצעות נוספות לפתרון

ציטוט:

נכתב במקור על ידי DanielS

שוב טעות נפוצה במקום לאפשר הכל ולחסום חלק.
תחסום הכל ותאפשר חלק.
או אם אתה רוצה לחסום את כל הHTML תשתמש בhtmlspecialchars()

במקרה שלא שמת לב אני חסמתי הכל ואפשרתי חלק... רשימת התגים בTAGS אלו הם התגים המותרים! לשימוש כל השאר אסורים...

Meir · 04-12-07, 18:12

תנסה את זה:

PHP קוד:


			
<?php
$string = 'test tag <script> and <p>';

function check_tag($tag) {
    if (in_array(str_replace('/', '', $tag), array('p', 'b', 'hr', 'a'))) {
        return '<'.$tag.'>';
    }
    return false;
}

echo preg_replace('/<(.*?)>/ie', 'check_tag("\\1")', $string);
?>

Kfir.G · 04-12-07, 18:57

ציטוט:

נכתב במקור על ידי Meir

תנסה את זה:

PHP קוד:


			
<?php

$string = 'test tag <script> and <p>';



function check_tag($tag) {

    if (in_array(str_replace('/', '', $tag), array('p', 'b', 'hr', 'a'))) {

        return '<'.$tag.'>';

    }

    return false;

}



echo preg_replace('/<(.*?)>/ie', 'check_tag("\\1")', $string);

?>

לא עובד לי...
ד"א מה בדיוק עושה \\1?

Meir · 04-12-07, 19:13

מעביר את התוצאה מהביטוי הרגולרי לפונקציה, שים לב שהפונקציה מאפשרת רק את התגים שנמצאים במערך בתוך הפונקציה delete כלומר רק את: p, b, hr וa.

ותוסיף את התיקון הבא:

PHP קוד:


			
str_replace(array('/', ' '), '', $tag)

כי יש תגים שנוהגים להכניס בהם רווח כמו hr.

Kfir.G · 04-12-07, 20:32

ציטוט:

נכתב במקור על ידי Meir

מעביר את התוצאה מהביטוי הרגולרי לפונקציה, שים לב שהפונקציה מאפשרת רק את התגים שנמצאים במערך בתוך הפונקציה delete כלומר רק את: p, b, hr וa.

ותוסיף את התיקון הבא:

PHP קוד:


			
str_replace(array('/', ' '), '', $tag)

כי יש תגים שנוהגים להכניס בהם רווח כמו hr.

בכל מקרה הפונקציה שלך מורידה את הכל חוץ מ <שם התג> וזה לא מה שאני צריך... אני צריך שאם זה תג מאושר הכל ישאר...

**Daniel** · 04-12-07, 21:12

ברגע שאתה מאפשר תג אחד-הכל פרוץ. תשתמש ב-htmlspecialchars.

Meir · 04-12-07, 21:28

ציטוט:

נכתב במקור על ידי kfir_dnd

בכל מקרה הפונקציה שלך מורידה את הכל חוץ מ <שם התג> וזה לא מה שאני צריך... אני צריך שאם זה תג מאושר הכל ישאר...

http://lives.co.il/kfir.php

04-12-07, 17:16	# 1
Kfir.G חבר וותיק מיני פרופיל תאריך הצטרפות: Dec 2005 הודעות: 1,059	[PHP] טיפול קלט עריכה: הנושא היה אמור להיות טיפול בקלט :P שלום, יש לי תופס שבו המשתמש שולח מידע ואני מעביר אותו ככה PHP קוד: `$content= $_POST['msg']; $content= html_entity_decode($content); $tags = "<p><h1><font><ol><ul><li><hr>" ."<blockquote><a><img><embed><strong>" ."<em><u><strike><sup><sub>"; $content= strip_tags($content,$tags);` ובכל זאת משתמשים מצליחים להחדיר תגים שהstrip_tags אמור להוריד... מה עושים? תודה מראש כפיר __________________ פיג'מה משחקים Last edited by Kfir.G; 04-12-07 at 17:20..

04-12-07, 17:47	# 3
DanielS הוסטסניון מיני פרופיל תאריך הצטרפות: Jan 2007 מיקום: ישראל הודעות: 2,429	שוב טעות נפוצה במקום לאפשר הכל ולחסום חלק. תחסום הכל ותאפשר חלק. או אם אתה רוצה לחסום את כל הHTML תשתמש בhtmlspecialchars() __________________ Daniel Email : daniel [AT] smartwd [DOT] com

04-12-07, 18:12	# 5
Meir חבר מתקדם מיני פרופיל תאריך הצטרפות: Dec 2006 גיל: 34 הודעות: 383	תנסה את זה: PHP קוד: `<?php $string = 'test tag <script> and <p>'; function check_tag($tag) { if (in_array(str_replace('/', '', $tag), array('p', 'b', 'hr', 'a'))) { return '<'.$tag.'>'; } return false; } echo preg_replace('/<(.*?)>/ie', 'check_tag("\\1")', $string); ?>`

04-12-07, 19:13	# 7
Meir חבר מתקדם מיני פרופיל תאריך הצטרפות: Dec 2006 גיל: 34 הודעות: 383	מעביר את התוצאה מהביטוי הרגולרי לפונקציה, שים לב שהפונקציה מאפשרת רק את התגים שנמצאים במערך בתוך הפונקציה delete כלומר רק את: p, b, hr וa. ותוסיף את התיקון הבא: PHP קוד: `str_replace(array('/', ' '), '', $tag)` כי יש תגים שנוהגים להכניס בהם רווח כמו hr.


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

04-12-07, 17:29	# 2
Meir חבר מתקדם מיני פרופיל תאריך הצטרפות: Dec 2006 גיל: 34 הודעות: 383	התיאור פה מתאים לבעיה שלך אני חושב: http://marc.info/?l=bugtraq&m=108981589117423.

04-12-07, 21:12	# 9
Daniel אחראי פורום מיני פרופיל תאריך הצטרפות: Mar 2007 הודעות: 2,875	ברגע שאתה מאפשר תג אחד-הכל פרוץ. תשתמש ב-htmlspecialchars.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)