Форум → Программирование → PHP для идиотов → Универсальная функция для защиты от XSS
Универсальная функция для защиты от XSS
Страницы: ← Следующая страница →
-
Привет! Ищу функцию, в которую передается html код (для статей, который до этого формируется в tinymce) и которая на выходе выдает очищенный от xss код.
Нашел вот что, но оценить качество не могу, так как не силен во всех этих xss атаках:
http://kallahar.com/smallprojects/php_xss_filter_function.php
Интересует качественное универсальное решение, без лишнего изучения книг. Что можете посоветовать? -
18 августа 2009 г. 23:36, спустя 16 минут 29 секунд
нахуй надо?Спустя 15 сек.htmlspecialchars = панацея ко всей этой сеошниковской хуйнеСапожник без сапог -
18 августа 2009 г. 23:46, спустя 9 минут 49 секунд
Я сохраняю в базе данных статьи с форматированием. Тоесть там <b> <i> <p> <h1> и так далее. Без этого никак -
18 августа 2009 г. 23:48, спустя 1 минуту 40 секунд
юзай bbcodeYou can be anything you want to be. Just turn yourself into anything you think that you could ever be. -
19 августа 2009 г. 0:01, спустя 13 минут 1 секунду
jevixhttps://smappi.org/ - платформа по созданию API на все случаи жизни -
19 августа 2009 г. 0:32, спустя 31 минуту 40 секунд
спасибо, рассматриваю все варианты. Предлагайте еще если что-то знаете. Пишите что используете в такой ситуации. -
19 августа 2009 г. 0:40, спустя 7 минут 43 секунды
smackthat, почитай и попробуй jevix - думаю самое тоhttps://smappi.org/ - платформа по созданию API на все случаи жизни -
19 августа 2009 г. 0:49, спустя 9 минут 7 секунд
Я сохраняю в базе данных статьи с форматированием. Тоесть там <b> <i> <p> <h1> и так далее. Без этого никак
эм.. при выводе данных юзай htmlspecialchars -
19 августа 2009 г. 11:06, спустя 10 часов 16 минут 51 секунду
adw0rd, какойто странный этот jevix, сконфигурировал так:
// set allowed tags
$this->jevix->cfgAllowTags(array('p','i','b','u','em','strong','nobr',
'li','ol','ul','sup','sub','h3','br','span'));
// set short tags
$this->jevix->cfgSetTagShort(array('br','nobr'));
// set allowed atributes
$this->jevix->cfgAllowTagParams('p', array('style'));
$this->jevix->cfgAllowTagParams('span', array('style'));
$this->jevix->cfgAllowTagParams('h3', array('style'));
// other options
$this->jevix->cfgSetTagCutWithContent(array('script', 'object', 'iframe', 'style'));
$this->jevix->cfgSetAutoBrMode(false);
Тоесть оно должно вырезать все теги с script, style. Так вот я вставил эти теги и вместо того чтобы их вырезать, оно вот что сделало:
<!– p { font-size: 400%; } –><p>[removed]// <![CDATA[alert();// ]]>[removed] -
19 августа 2009 г. 11:30, спустя 23 минуты 38 секунд
на странице штуки подобного типа < превращаюца в спец символы.. которые не выполняются а просто визуально изображаются -
19 августа 2009 г. 11:35, спустя 5 минут 21 секунду
это конешно очень хорошо, но этой функцией$this->jevix->cfgSetTagCutWithContent(array('script', 'object', 'iframe', 'style'));
должно настроиться удаление тегов вместе с содержанием, а этого не происходит.
И еще, может есть какая-то библиотека или функция для оптимизации html кода, тоесть чтобы лишние теги удаляла, там например <span></span> -
19 августа 2009 г. 11:37, спустя 2 минуты 14 секунд
smackthat, лобочки вы)
http://ru2.php.net/tidy - самая адская библиотека. и скрипты при должной настройке отсечет и тпСапожник без сапог -
20 августа 2009 г. 0:29, спустя 12 часов 51 минуту 43 секунды
кто вы?
smackthat, лобочки вы)
http://ru2.php.net/tidy - самая адская библиотека. и скрипты при должной настройке отсечет и тп -
20 августа 2009 г. 1:49, спустя 1 час 19 минут 58 секунд
tidy - как я понял заточенна под cleanup, подчистку, валидацию html, но не для защиты от xss. Пока остановился и изучаю http://htmlpurifier.org -
20 августа 2009 г. 1:56, спустя 7 минут 13 секунд
smackthat, лобочки вы)
http://ru2.php.net/tidy - самая адская библиотека. и скрипты при должной настройке отсечет и тп
Страницы: ← Следующая страница →
Пожалуйста, авторизуйтесь, чтобы написать комментарий!