Pogčedajte punu verziju : Anti XSS funkcija?
ivanhoe
30. 01. 2006., 17:08
Treba mi neka sto sigurnija i sveobuhvatnija funkcija (ili funkcije) da propustim HTML kroz nju, a da ona obezbedi da one razne XSS fore ne mogu daprodju..
korisnici u principu ne smeju da direktno ukucavaju nikakav html, ja to sve prebacim u plain text, ali bih da sprecim i ona razna encodovanja javascripta kao hex brojeva, UTF-8 i slicne gluposti...
dinke
30. 01. 2006., 17:49
Ako ama baš nikakav html tag ne sme da prođe, mislim da će ti strip_tags (http://www.php.net/strip_tags) završiti posao.
Što se tiče nekih drugih rešenja, na pamet mi pada da napišeš neki SAX based XML parser pa da tako odradiš filter.
ivanhoe
31. 01. 2006., 01:02
Ako ama baš nikakav html tag ne sme da prođe, mislim da će ti strip_tags (http://www.php.net/strip_tags) završiti posao.
nije meni frka od tagova koji izgledaju kao tagovi, tj. <nesto , ali postoji 2 miliona nacina da se to enkoduje tako da prodje pored mog regExpa (ili strip_tags), a da ga browser ipak prihvati kao tag, recimo ovo su ti neki od nacina da se enkoduje < tako da i dalje u browserima radi:
<
%3C
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
<
\x3c
\x3C
\u003c
\u003C
e sad ovo sam ja nasao na nekom hakerskom sajtu posle 5 minuta googlanja, a bog te pita koliko jos ima fora koje ne pisu na sajtovima... zato sam hteo neku gotovu funkciju koju je napisao neko ko o tome zna vise od mene...
vBulletin® v3.6.8, Copyright ©2000-2024, Jelsoft Enterprises Ltd.