$text = preg_replace('%[^,.!? 0-9a-zA-ZА-Яа-я]+%', '', $text);
С помощью htmlspecialchars выводить инфу в дальнейшем не вариант, почему и интерисуюсь можно ли составить какуюта xss атаку или нет
Спустя 3 часа, 34 минуты (4.06.2012 - 00:42) Белый Тигр написал(а):
С фильтрацией через это выражение - нет.
Спустя 2 месяца, 11 дней, 5 часов, 18 минут, 59 секунд (15.08.2012 - 06:01) Slavok написал(а):
По идее должно хватить функции:
$text = strip_tags($text);
Спустя 2 часа, 47 минут, 58 секунд (15.08.2012 - 08:49) Белый Тигр написал(а):
Не хватит, не забывайте про опасность отдельных символов. Не всегда при XSS-нападениях используют теги целиком. Тогда уж
htmlspecialchars($var, ENT_QUOTES);
Спустя 57 минут, 53 секунды (15.08.2012 - 09:47) killer8080 написал(а):
Цитата (Georgiy_Dovidov @ 3.06.2012 - 22:08) |
Здравствуйте всем, подскажите пожалуйста можно ли составить какую та xss атаку из этих символов? <pre class="sh_sourceCode" rel="php"> <span class="sh_variable">$text</span> <span class="sh_symbol">=</span> <span class="sh_function">preg_replace</span><span class="sh_symbol">(</span><span class="sh_string">'%[^,.!? 0-9a-zA-ZА-Яа-я]+%'</span><span class="sh_symbol">,</span> <span class="sh_string">''</span><span class="sh_symbol">,</span> <span class="sh_variable">$text</span><span class="sh_symbol">);</span> </pre> С помощью htmlspecialchars выводить инфу в дальнейшем не вариант, почему и интерисуюсь можно ли составить какуюта xss атаку или нет |
Ну да, а резать все подряд такими дурацкими фильтрами, это уж точно вариант
Может тогда уж совсем постинг запретить