24-06-10, 14:30
|
# 1 |
|
חבר וותיק
|
שאלה ב htmlspecialchars
אהלן
שאני מכניס קלט למסד אני משתמש ב htmlspecialchars על מנת למנוע XSS וכאלה הבעיה שיש לי קלט של התו ' זה הופך לי לסלאש מה אני יכול לעשות? אם אני לא ישתמש ב htmlspecialchars או יעשה איזה פונקציה כשאני שולף מהמסד שתבטל את ה htmlspecialchars(איזה פונקציה מבטלת את זה) אז כאשר אני יציג את הפלט זה יכול להיות XSS אשמח לעזרה תודה |
|
|
24-06-10, 15:42
|
# 2 |
|
תודה על תרומתך.
|
קודם כל תבדוק ב CONIG אם יש לך MAGIC_QOUTES
אם יש אז סביר להניח שהם אלא שמכניסים לך את ה \ לפני ותשתמש בזה ככה : htmlspecialchars($var,ENT_QUOTES);
__________________
|
|
|
|
24-06-10, 23:24
|
# 3 | |
|
חבר וותיק
|
ציטוט:
ולגבי ה CONFIG אין לי דרך לבדוק אגב שמתי לב שהסלאשים האלה זה בגלל mysql_real_escape_string ולא בגלל htmlspecialchars אז אם זה ככה אני יכול לעשות את הפונקציה strip_slash כדי לבטל אותם? או שאם אני יבטל אותם בהוצאה מהמסד זה עלול להציג לי XSS וכאלה |
|
|
|
|
25-06-10, 02:06
|
# 4 |
|
תודה על תרומתך.
|
__________________
|
|
|
 |
| חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים) | |
|
|
עבור למצב קווי
