הרשם | שאלות ותשובות | רשימת חברים | לוח שנה | הודעות מהיום | חיפוש |
|
|
כלים לאשכול | תצורת הצגה |
13-02-15, 02:56 | # 1 |
חבר מתקדם
|
אפשרי לקבל נתונים מהURL ולהכניס אותם לHTML בתור טקסט?
לדוגמא אני מכין מדריך למשחק בעל 10 שלבים.
המדריך הולך בצורה הבא: "היי, הגעתם לאתר מדריכים! המדריך הבא יסביר לכם איך לעבור את שלב X" בכל שלב המדריך הוא אותו הטקסט, אותו הדף, רק מספר השלב משתנה. האם אוכל לעשות שלדומא כניסה מהכתובת site.com/guide.php?id=3 ייתן X=3 ויוציא פלט של "היי הגעתם לאתר מדריכים! המדריך הבא יסביר לכם איך לעבור את שלב 3" וכניסה מהכתובת guide.php?id=10 ייתן "....איך לעבור את שלב 10" וכו'? |
13-02-15, 15:39 | # 3 |
חבר מתקדם
|
תודה. אפשר לנעול
|
13-02-15, 18:36 | # 4 |
חבר וותיק
|
אני מניח שבגלל שאתה חדש בנושא הזה, אז הקוד שלך נראה ככה:
קוד:
<?php echo $_GET['id']; ?> אז תוכל להשתמש ב intval שפשוט מציג לך את המספר: קוד:
<? echo intval($_GET['id']); ?> |
13-02-15, 18:55 | # 5 | |
חבר מתקדם
|
ציטוט:
שאלה כללית: האם בכל פעם שאני משתמש בצורה הראשונה שציינת אני חושף את הדף לXSS? לדוגמא קוד:
<?php echo $key; ?> כי אני די משתמש בצורה הזאת בהמון דפים וקודים |
|
13-02-15, 19:26 | # 6 | |
חבר וותיק
|
ציטוט:
תחשוב שהכתובת של המשתמש היא כזו: קוד:
url.com/index.php?id=<script>alert('xss');</script> קוד:
<script>alert('xss');</script> http://php.net/htmlspecialchars אבל כשאתה מציג מספרים, שימוש בintval יספיק. ד"א כנ"ל גם לגבי _POST ו _COOKIE וכל הקלט מהגולש. ועוד משהו קטן: אם אתה עובד מול מסד נתונים, htmlspecialchars לא יעזור לך (בעוד ש intval כן), אתה צריך למנוע sql injection שזה פשוט בmysqli ו pdo אם תשתמש ב bind parameters Last edited by Haimz; 13-02-15 at 19:29.. |
|
חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים) | |
|
|