Спустя 5 минут, 22 секунды (15.08.2010 - 13:33) Slays написал(а):
введи очень длинное значение в поле сообщения и увидишь что будет с чатом )
потом ты по-моему все теги в сообщении оставляешь, что не гуд, можно запостить любой код
потом ты по-моему все теги в сообщении оставляешь, что не гуд, можно запостить любой код
Спустя 1 минута, 25 секунд (15.08.2010 - 13:35) Guest написал(а):
а как теги убрать?
Спустя 4 минуты, 23 секунды (15.08.2010 - 13:39) Slays написал(а):
htmlspecialchars
думаю дырок там не мало =)
думаю дырок там не мало =)
Спустя 44 секунды (15.08.2010 - 13:40) Guest написал(а):
там htmlspecialchars прописана
Спустя 17 секунд (15.08.2010 - 13:40) Guest написал(а):
помоги с дырами справиться)))) выручай
Спустя 2 минуты, 5 секунд (15.08.2010 - 13:42) Slays написал(а):
видимо не там прописан.
Этим отдельные люди занимаются, тестят на все дыры, я так только глянул =)
На форуме должны быть такие )
Этим отдельные люди занимаются, тестят на все дыры, я так только глянул =)
На форуме должны быть такие )
Спустя 4 минуты, 29 секунд (15.08.2010 - 13:47) Guest написал(а):
$name = !empty ($_POST['name']) ? trim(htmlspecialchars($_POST['name'])) : NULL;
$msg = !empty ($_POST['msg']) ? trim(htmlspecialchars($_POST['msg'])) : NULL;
$add = !empty ($_POST['add']) ? $_POST['add'] : NULL;
$name = substr ($name, 0,15) ;
$msg= substr ($msg, 0,50) ;
Спустя 6 минут, 5 секунд (15.08.2010 - 13:53) phz написал(а):
А где код? Как смотреть?
Спустя 1 минута, 36 секунд (15.08.2010 - 13:55) Guest написал(а):
Как тут файл прикрепить?
Спустя 41 минута, 4 секунды (15.08.2010 - 14:36) FatCat написал(а):
| Цитата (Guest @ 15.08.2010 - 14:55) |
| Как тут файл прикрепить? |
Зарегистрироваться, чтобы появилась возможность аттачить к сообщениям.
Или выложить на файлообменник и здесь дать ссылку.
Спустя 2 минуты, 26 секунд (15.08.2010 - 14:38) Guest написал(а):
Вот ссылка на файл http://phptest.h1.ru/index.zip, помогите с безопасностью, кавычки, пробелы... че там ещё...
Спустя 1 час, 39 минут, 28 секунд (15.08.2010 - 16:17) webmonkey написал(а):
$mess = $row['msg'];
$mess = htmlspecialchars($mess);
$mess = wordwrap($mess, 100, "<br/>", true);
Вот..
Спустя 1 минута, 56 секунд (15.08.2010 - 16:19) Guest написал(а):
Где это надо прописать?
Спустя 3 минуты, 16 секунд (15.08.2010 - 16:23) webmonkey написал(а):
перед кодом для вывода сообщений, и в echo "<p style='padding-left:10'><span style='color:#F27C2E'>$row[name]:</span> $row[msg]</p>" ; изменить $row[msg] на $mess
Спустя 1 минута, 19 секунд (15.08.2010 - 16:24) Guest написал(а):
а почему там в чате javascript запустился? точнее alert?
Спустя 3 минуты, 32 секунды (15.08.2010 - 16:28) webmonkey написал(а):
потому что можно закрыть <textarea> и написать любой код, хоть PHP, для этого и нужен(чтобы теги не исполнялись) htmlspecialchars(), или strip_tags() - последний теги запрещает
Спустя 36 секунд (15.08.2010 - 16:28) Guest написал(а):
Прописал, без изменений....
Спустя 28 секунд (15.08.2010 - 16:29) Guest написал(а):
ты мой код смотрел? что там надо изменить, чтобы коды не исполнялись никакие?
Спустя 4 часа, 44 минуты, 2 секунды (15.08.2010 - 21:13) twin написал(а):
$ins = "INSERT INTO `post` (name, msg) VALUES ('".mysql_real_escape_string ($_POST['name'])."',зачем тут nl2br()?
'".mysql_real_escape_string (nl2br($_POST['msg']))."')" ;
$msg = !empty ($_POST['msg']) ? trim(htmlspecialchars(nl2br($_POST['msg']))) : NULL;а тут надо наоборот
$msg = !empty ($_POST['msg']) ? nl2br(htmlspecialchars(trim($_POST['msg']))) : NULL;
Спустя 1 час, 3 минуты, 42 секунды (15.08.2010 - 22:16) webmonkey написал(а):
$res = "SELECT * FROM `post` ORDER BY id DESC LIMIT 20" ;
$query = mysql_query ($res) ;
while ($row = mysql_fetch_array ($query))
{
echo "<p style='padding-left:10'><span style='color:#F27C2E'>$row[name]:</span>".htmlspecialchars($row['msg'])."</p>" ;
}
Взял из твоего скрипта, только поправил