ReSQL.ru
     
powered by simpleCommunicator - 2.0.61     © 2026 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / (PHP) XSS фильтрация
6 сообщений из 6, страница 1 из 1
(PHP) XSS фильтрация
    #33594009
Dipish
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Dipish
Гость
Извиняюсь если было, но у меня есть и вполне конкретный вопрос. Столкнулся с необходимостью фильтрации пользовательского ввода, стал тестировать на всякие "неприятные" вставки, и никак не получается выловить вот эту ;-(
Код: plaintext
<IMG STYLE="xss:expr%af_src_comm_0ession(alert('XSS'))">
Это пашет только в ИЕ...
И еще... если пользователь в качестве картинки вводит адрес скрипта, никак нельзя определить, действительно ли картинка за скриптом или нет?
Код: plaintext
<IMG SRC="http://www.site.com/xxx.php?v=asdf">
Если нет, то как вообще запретить ссылки на скрипты?
Большое спасибо за отзывчивость!
...
Рейтинг: 0 / 0
10.03.2006, 23:14
| Ответить | Цитировать | Написать  
(PHP) XSS фильтрация
    #33594037
VERS
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
VERS
Участник
Dipish И еще... если пользователь в качестве картинки вводит адрес скрипта, никак нельзя определить, действительно ли картинка за скриптом или нет?
Код: plaintext
<IMG SRC="http://www.site.com/xxx.php?v=asdf">

А что может плохого сделать этот скрипт в соурсе картинки?))
...
Рейтинг: 0 / 0
11.03.2006, 00:28
| Ответить | Цитировать | Написать  
(PHP) XSS фильтрация
    #33594303
-.-.-.-.-.-
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
-.-.-.-.-.-
Гость
1. ссылки на скрипты запретить нельзя.
2. посмотри pear.php.net/HTML_Safe - там вроде была защита от похожего
...
Рейтинг: 0 / 0
11.03.2006, 12:28
| Ответить | Цитировать | Написать  
(PHP) XSS фильтрация
    #33595040
Dipish
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Dipish
Гость
VERS Dipish И еще... если пользователь в качестве картинки вводит адрес скрипта, никак нельзя определить, действительно ли картинка за скриптом или нет?
Код: plaintext
<IMG SRC="http://www.site.com/xxx.php?v=asdf">

А что может плохого сделать этот скрипт в соурсе картинки?))
А что, разве нет возможности выполнить "вредоносный" скрипт если он в соурсе картинки? Ведь он выполнится!
...
Рейтинг: 0 / 0
12.03.2006, 17:26
| Ответить | Цитировать | Написать  
(PHP) XSS фильтрация
    #33595174
VERS
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
VERS
Участник
DipishА что, разве нет возможности выполнить "вредоносный" скрипт если он в соурсе картинки? Ведь он выполнится!
Если бы это было возможно, ни на одном форуме вы бы не увидели кнопку "вставить рисунок" и т.п.
Если в соурсе картинки не бинарные данные, браузер просто не сможет отобразить рисунок и не более.
...
Рейтинг: 0 / 0
12.03.2006, 20:28
| Ответить | Цитировать | Написать  
(PHP) XSS фильтрация
    #33597726
Dipish
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Dipish
Гость
Извиняюсь, лоханулся! Просто я думал что на всех форумах всякие такие проверки делают у картинок...
...
Рейтинг: 0 / 0
13.03.2006, 18:22
| Ответить | Цитировать | Написать  
6 сообщений из 6, страница 1 из 1
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / (PHP) XSS фильтрация
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение   Полит. конфиден.  
NoSQL.ru       Кролег: Проекты, Новости, Чат       РЕД ФОРУМ       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=23&fpage=431&tid=1476582]:
 0ms
get settings:
 7ms
get forum list:
 19ms
check forum access:
 4ms
check topic access:
 4ms
track hit:
 68ms
get topic data:
 12ms
get forum data:
 3ms
get page messages:
 53ms
get tp. blocked users:
 2ms
others: 204ms
total:  376ms
созд. / загр.: 376ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]