Сканер находит в форме обратной связи XSS уязвимость, соответственно можно выполнить скрипт, данные передаются POSTом, вот пример:
echo getCurrencies($_POST['offline_method_from'], $_POST['offline_method_to'], ($_POST['exch_type'] == 0 ? $give : $give_ex), ($_POST['exch_type'] == 0 ? $get : $get_ex));
Передавать нужно только рус, англ буквы и цифры. Слышал что можно как то ставить фильтры на POST, прошу Вашей помощи для решения этой проблемы.
Спустя 6 минут, 24 секунды (8.08.2012 - 14:21) Игорь_Vasinsky написал(а):
if(!preg_match("#a-zа-яё\d#i"), $_POST['key'])
echo 'Wrong!';
if unicode - add modificator u after or before i
Спустя 4 минуты, 47 секунд (8.08.2012 - 14:26) TOSS написал(а):
Т.е. должно выгладить так:
<?php
if(!preg_match("#a-zа-яё\d#i"), $_POST['key'])
{
echo getCurrencies($_POST['offline_method_from'], $_POST['offline_method_to'], ($_POST['exch_type'] == 0 ? $give : $give_ex), ($_POST['exch_type'] == 0 ? $get : $get_ex));
Продолжение кода....
}
echo 'Wrong!';
?>
?
<?php
if(!preg_match("#a-zа-яё\d#i"), $_POST['key'])
{
echo getCurrencies($_POST['offline_method_from'], $_POST['offline_method_to'], ($_POST['exch_type'] == 0 ? $give : $give_ex), ($_POST['exch_type'] == 0 ? $get : $get_ex));
Продолжение кода....
}
echo 'Wrong!';
?>
?
Спустя 2 минуты, 37 секунд (8.08.2012 - 14:28) Игорь_Vasinsky написал(а):
нет.
if(preg_match("#a-zа-яё\d#i"), $_POST['key'])
{
//Работаем с $_POST['key']
}
else
{
echo 'Wrong!';
}
Спустя 3 минуты, 14 секунд (8.08.2012 - 14:32) TOSS написал(а):
Хм у меня работа же с пост идет на протяжении всего файла, нельзя забить сразу для всего файла или же надо только перед каждым куском где ПОСТ вставлять?