הרשם שאלות ותשובות רשימת חברים לוח שנה חיפוש הודעות מהיום סמן פורומים כנקראו

   
|!|

השב
 
כלים לאשכול תצורת הצגה
ישן 13-02-15, 02:56   # 1
Tyler
חבר מתקדם
 
מיני פרופיל
תאריך הצטרפות: Jul 2013
הודעות: 417

Tyler לא מחובר  

אפשרי לקבל נתונים מהURL ולהכניס אותם לHTML בתור טקסט?

לדוגמא אני מכין מדריך למשחק בעל 10 שלבים.

המדריך הולך בצורה הבא:
"היי, הגעתם לאתר מדריכים!
המדריך הבא יסביר לכם איך לעבור את שלב X"

בכל שלב המדריך הוא אותו הטקסט, אותו הדף, רק מספר השלב משתנה.
האם אוכל לעשות שלדומא כניסה מהכתובת site.com/guide.php?id=3 ייתן X=3 ויוציא פלט של

"היי הגעתם לאתר מדריכים!
המדריך הבא יסביר לכם איך לעבור את שלב 3"

וכניסה מהכתובת guide.php?id=10 ייתן "....איך לעבור את שלב 10"

וכו'?
__________________
facebook api, js, cpa, cpl, $$$
--------------------
שלח לי הודעה פרטית.
  Reply With Quote
ישן 13-02-15, 10:39   # 2
אדיר
עסק רשום [?]
 
מיני פרופיל
תאריך הצטרפות: Mar 2008
מיקום: אשקלון
הודעות: 1,714

אדיר לא מחובר  

http://php.net/manual/en/reserved.variables.get.php
  Reply With Quote
ישן 13-02-15, 15:39   # 3
Tyler
חבר מתקדם
 
מיני פרופיל
תאריך הצטרפות: Jul 2013
הודעות: 417

Tyler לא מחובר  

תודה. אפשר לנעול
__________________
facebook api, js, cpa, cpl, $$$
--------------------
שלח לי הודעה פרטית.
  Reply With Quote
ישן 13-02-15, 18:36   # 4
Haimz
חבר וותיק
 
מיני פרופיל
תאריך הצטרפות: Sep 2010
הודעות: 1,221

Haimz לא מחובר  

אני מניח שבגלל שאתה חדש בנושא הזה, אז הקוד שלך נראה ככה:
קוד:
<?php echo $_GET['id']; ?>
ואם כן, זה לא טוב כי אתה חושף את עצמך לXSS
אז תוכל להשתמש ב intval שפשוט מציג לך את המספר:
קוד:
<? echo intval($_GET['id']); ?>
  Reply With Quote
ישן 13-02-15, 18:55   # 5
Tyler
חבר מתקדם
 
מיני פרופיל
תאריך הצטרפות: Jul 2013
הודעות: 417

Tyler לא מחובר  

ציטוט:
נכתב במקור על ידי Haimz צפה בהודעה
אני מניח שבגלל שאתה חדש בנושא הזה, אז הקוד שלך נראה ככה:
קוד:
<?php echo $_GET['id']; ?>
ואם כן, זה לא טוב כי אתה חושף את עצמך לXSS
אז תוכל להשתמש ב intval שפשוט מציג לך את המספר:
קוד:
<? echo intval($_GET['id']); ?>
ואו תודה.
שאלה כללית: האם בכל פעם שאני משתמש בצורה הראשונה שציינת אני חושף את הדף לXSS?
לדוגמא
קוד:
<?php echo $key; ?>
גם חשוף לXSS?
כי אני די משתמש בצורה הזאת בהמון דפים וקודים
__________________
facebook api, js, cpa, cpl, $$$
--------------------
שלח לי הודעה פרטית.
  Reply With Quote
ישן 13-02-15, 19:26   # 6
Haimz
חבר וותיק
 
מיני פרופיל
תאריך הצטרפות: Sep 2010
הודעות: 1,221

Haimz לא מחובר  

ציטוט:
נכתב במקור על ידי Tyler צפה בהודעה
ואו תודה.
שאלה כללית: האם בכל פעם שאני משתמש בצורה הראשונה שציינת אני חושף את הדף לXSS?
לדוגמא
קוד:
<?php echo $key; ?>
גם חשוף לXSS?
כי אני די משתמש בצורה הזאת בהמון דפים וקודים
ברור,

תחשוב שהכתובת של המשתמש היא כזו:
קוד:
url.com/index.php?id=<script>alert('xss');</script>
ואתה תציג את תוכן ה id , כלומר מה שיוצג לך בעמוד יהיה:
קוד:
<script>alert('xss');</script>
וזה לא טוב, לכן אתה צריך להשתמש ב htmlspecialchars:
http://php.net/htmlspecialchars

אבל כשאתה מציג מספרים, שימוש בintval יספיק.

ד"א כנ"ל גם לגבי _POST ו _COOKIE וכל הקלט מהגולש.

ועוד משהו קטן: אם אתה עובד מול מסד נתונים, htmlspecialchars לא יעזור לך (בעוד ש intval כן), אתה צריך למנוע sql injection שזה פשוט בmysqli ו pdo אם תשתמש ב bind parameters

Last edited by Haimz; 13-02-15 at 19:29..
  Reply With Quote
השב

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)
 

כלים לאשכול
תצורת הצגה

חוקי פירסום
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is מופעל
סמיילים הם מופעל
[IMG] קוד מופעל
קוד HTML מכובה

קפיצה לפורום


כל הזמנים הם GMT +2. הזמן כעת הוא 13:40.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ