URL encoded GET input appservlang was set to " onmouseover=prompt(986934) bad="
The input is reflected inside a tag element between double quotes.
так вот вопрос в том как написать глобальную проверку всех Гет запросов на определенные метасимволы вот написал функцию
preg_match('#(\)|\(|;|:|}|{|\'|"|[|]|{|}|<|>|=)#',$value)
да если написать так preg_match('#(\)|\(|;|:|}|{|\'|"|[|]|{|}|<|>|=)#',$_GET['appservlang'])
дальше идет если preg_match больше одного то die
то все получается на ура НО
1.Акунтекс все ровно распознает это дело и кричит что тут ошибка
2.Это только для одной гет переменной
Вот не знаю как мне это дело фиксить :o
Спустя 6 минут, 15 секунд (23.05.2011 - 18:51) alex12060 написал(а):
А что должно быть в переменной? в GET запросе?
Спустя 5 минут, 40 секунд (23.05.2011 - 18:56) Зарегестрирований написал(а):
вы про что?
я же описал я проверял сайт на Acunetix - е вот он и выдал такую ошибку что описана выше латинскими буквами или я вас не понял
я же описал я проверял сайт на Acunetix - е вот он и выдал такую ошибку что описана выше латинскими буквами или я вас не понял
Спустя 6 минут, 59 секунд (23.05.2011 - 19:03) alex12060 написал(а):
Ты английский учил?
хе хе хе
URL encoded GET input appservlang was set to " onmouseover=prompt(986934) bad="
The input is reflected inside a tag element between double quotes.
Тут говорится о том, что нужно обрамлять функции в двойные кавычки...
хе хе хе
URL encoded GET input appservlang was set to " onmouseover=prompt(986934) bad="
The input is reflected inside a tag element between double quotes.
Тут говорится о том, что нужно обрамлять функции в двойные кавычки...
Спустя 11 минут, 52 секунды (23.05.2011 - 19:15) Зарегестрирований написал(а):
ну это я понял...
но какие функции?
можно поконкретней?
функции типа onFocus="function()....." <---- так писать?
ну так у меня они так и описаны
но какие функции?
можно поконкретней?
функции типа onFocus="function()....." <---- так писать?
ну так у меня они так и описаны
Спустя 2 минуты, 34 секунды (23.05.2011 - 19:18) alex12060 написал(а):
Я тогда не знаю, что он тогда требует от тебя. Наверняка он должен строку передать, поищи там.
Спустя 9 минут, 29 секунд (23.05.2011 - 19:27) inpost написал(а):
Зарегестрирований
onmouseover=prompt(986934) - вот что я вижу, без кавычек.
onmouseover=prompt(986934) - вот что я вижу, без кавычек.
Спустя 9 минут, 42 секунды (23.05.2011 - 19:37) Зарегестрирований написал(а):
но я вообще не использовал функцию onmouseover
оно подставило в переменную appservlang этот текст вот как это выглядит
localhost/..../index.php?appservlang=" onmouseover=prompt(986934) bad="
я профильтровал это дело через регулярку(написал специальную функцию)
когда я все это дело проворачиваю то сайт выдает ошибку и завершается
оно подставило в переменную appservlang этот текст вот как это выглядит
localhost/..../index.php?appservlang=" onmouseover=prompt(986934) bad="
я профильтровал это дело через регулярку(написал специальную функцию)
когда я все это дело проворачиваю то сайт выдает ошибку и завершается
Спустя 12 часов, 4 минуты, 21 секунда (24.05.2011 - 07:41) alex12060 написал(а):
Ну понятно на что он ругался. Ну во первых, тут вообще все на всем и не понято что и где.
Далее, у тебя не обрабатываются выходные данные.
А если у меня логин: <script>alert('XSS');</script>
То между этими тегами можно такое понаписать, что тебя на хостинге и гугл кинет в бан
Далее, у тебя не обрабатываются выходные данные.
А если у меня логин: <script>alert('XSS');</script>
То между этими тегами можно такое понаписать, что тебя на хостинге и гугл кинет в бан
Спустя 1 час, 49 минут, 26 секунд (24.05.2011 - 09:31) XCross написал(а):
alex12060, приведи пример такого страшного javascript'а....
Спустя 4 часа, 42 минуты, 30 секунд (24.05.2011 - 14:13) Зарегестрирований написал(а):
поверь есть такое не зря же зовется Cross site scripting
междусайтовый скриптинг
Алукс спасибо сча пойду напишу обработчик как говориться а слона то мы и незаметили
2. А что во вторых
междусайтовый скриптинг
Алукс спасибо сча пойду напишу обработчик как говориться а слона то мы и незаметили
2. А что во вторых
Спустя 53 минуты, 3 секунды (24.05.2011 - 15:06) Зарегестрирований написал(а):
prl($login) < 1
функция prl с помошью регулярки проверяет на наличие метасимволов (< > " '...)
функция prl с помошью регулярки проверяет на наличие метасимволов (< > " '...)