[PHP] אבטחה... - הוסטס

ShLooK · 07-10-07, 22:43

יש לי נגיד את הקוד הבא:

PHP קוד:


			
            $username=$_POST['username'];

            htmlspecialchars($username);

            mysql_real_escape_string($username);

אבל עדיין אם אני מכנס נגיד <script>, זה דופק את האתר...
מה אפשר לעשות?

Gal Shafrir · 07-10-07, 22:46

להחליף את המילה הזאת בכלום..

PHP קוד:


			
<?php

    $text = str_replace("<script>","",$text);

?>

**Tomer** · 07-10-07, 23:29

striptags / htmlspecialchars

חיים · 08-10-07, 07:40

ציטוט:

נכתב במקור על ידי Tomer

striptags / htmlspecialchars

תומר הוא צריך להעיף רק את ה<script> ולא את כל התגים

תעשה כמו שאמרו לך למעלה:

PHP קוד:


			
$text = eregi_replace("<script(.*)>","",$text); 
$text = eregi_replace("</script>","",$text);

תנסה משהוא כזה

אני לא כל כך טוב בביטויים רגולריים אבל זה מה שאנ ייודע

Elad-A · 08-10-07, 08:27

ואם כבר אז ככה:

PHP קוד:


			


function clean($string)

{

    return preg_replace('/<(script|style)[^>]*>[^<]*<\/[^>]*(script|style)[^>]*>/Ui', '', $string);

}

זה יחליף גם את תגיות הscript וגם את style.

ShLooK · 08-10-07, 14:52

פצצה! תודה חברה...
אם אני אשתמש בstriptags, זה יחסום את כל התגים?

**Daniel** · 08-10-07, 15:52

נו, אף אחד לא קרא את הנושא.
יש לך טעות בקוד, תקרא ותראה.

PHP קוד:


			
            $username=$_POST['username'];

             $username = htmlspecialchars($username);

            $username = mysql_real_escape_string($username);

אני בטוח שאף אחד שהגיב לא באמת קרא את הנושא.

חיים · 08-10-07, 16:24

ציטוט:

נכתב במקור על ידי MasterT

נו, אף אחד לא קרא את הנושא.
יש לך טעות בקוד, תקרא ותראה.

PHP קוד:


			
            $username=$_POST['username'];
             $username = htmlspecialchars($username);
            $username = mysql_real_escape_string($username);

אני בטוח שאף אחד שהגיב לא באמת קרא את הנושא.

חחחחחח אחי אתה זה שלא קראת בו נצטט לך אותו:

ציטוט:

יש לי נגיד את הקוד הבא:

זאת רק דוגמה חחח את הפתרון הוא קיבל אני חושב ככה שלמה אתה בכלל עונה

אני לא מבין את הקטע של לענות אחרי שהבן אדם קיבל פתרון

**Daniel** · 08-10-07, 16:46

אנשים מציעים לו striptags-שזה פשוט לדלג על הבעייה,

ו-htmlspecialchars אמור לחסום גם <script> ולהפוך את זה ל-;<script&gt למיטב ידיעתי.

daMn · 08-10-07, 18:10

תשמע אני לא יודע מה עשית בקוד,
אבל מה שאני יודע כדי לחסום מה שאתה רוצה זה מספיק

PHP קוד:


			
$username = htmlspecialchars($username, ENT_QUOTES);

07-10-07, 22:43	# 1
ShLooK חבר בקהילה מיני פרופיל תאריך הצטרפות: Dec 2005 גיל: 32 הודעות: 323	[PHP] אבטחה... יש לי נגיד את הקוד הבא: PHP קוד: `$username=$_POST['username']; htmlspecialchars($username); mysql_real_escape_string($username);` אבל עדיין אם אני מכנס נגיד <script>, זה דופק את האתר... מה אפשר לעשות? __________________ הימורים וירטואלים

07-10-07, 22:46	# 2
Gal Shafrir חבר וותיק מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 1,626	להחליף את המילה הזאת בכלום.. PHP קוד: `<?php $text = str_replace("<script>","",$text); ?>` __________________ בברכה, גל שפריר - מעצב ומפתח אתרים. עופר שפריר - במאי, תסריטאי ומפיק.

07-10-07, 23:29	# 3
Tomer Whatever מיני פרופיל תאריך הצטרפות: Oct 2005 הודעות: 7,039	striptags / htmlspecialchars __________________ תומר

08-10-07, 08:27	# 5
Elad-A הוסטסניון מיני פרופיל תאריך הצטרפות: May 2006 הודעות: 1,987	ואם כבר אז ככה: PHP קוד: `function clean($string) { return preg_replace('/<(script\|style)[^>]>[^<]<\/[^>](script\|style)[^>]>/Ui', '', $string); }` זה יחליף גם את תגיות הscript וגם את style. __________________ משחקי דפדפן \| משחקים ברשת \| משחקי בנות ברשת

08-10-07, 14:52	# 6
ShLooK חבר בקהילה מיני פרופיל תאריך הצטרפות: Dec 2005 גיל: 32 הודעות: 323	פצצה! תודה חברה... אם אני אשתמש בstriptags, זה יחסום את כל התגים? __________________ הימורים וירטואלים Last edited by ShLooK; 08-10-07 at 15:41..


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

08-10-07, 15:52	# 7
Daniel אחראי פורום מיני פרופיל תאריך הצטרפות: Mar 2007 הודעות: 2,875	נו, אף אחד לא קרא את הנושא. יש לך טעות בקוד, תקרא ותראה. PHP קוד: `$username=$_POST['username']; $username = htmlspecialchars($username); $username = mysql_real_escape_string($username);` אני בטוח שאף אחד שהגיב לא באמת קרא את הנושא.

08-10-07, 16:46	# 9
Daniel אחראי פורום מיני פרופיל תאריך הצטרפות: Mar 2007 הודעות: 2,875	אנשים מציעים לו striptags-שזה פשוט לדלג על הבעייה, ו-htmlspecialchars אמור לחסום גם <script> ולהפוך את זה ל-;<script&gt למיטב ידיעתי.

08-10-07, 18:10	# 10
daMn הוסטסניון מיני פרופיל תאריך הצטרפות: Mar 2007 גיל: 34 הודעות: 2,050	תשמע אני לא יודע מה עשית בקוד, אבל מה שאני יודע כדי לחסום מה שאתה רוצה זה מספיק PHP קוד: `$username = htmlspecialchars($username, ENT_QUOTES);` __________________ "חינוך למדעי המחשב לא יכול להפוך אף אחד למתכנת מומחה יותר מאשר לימוד על מברשות וצבעים יכול להפוך מישהו לצייר מיומן." (אריק ס. ריימונד)

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)