Страница 1 из 1

отправка комментария с главной

Добавлено: Ср, 24.12.08 13:42:32
user_18226
Не экранируется включения html-кода при отправке сообщений со страницы новостей.

На странице новостей получается просто текст, в сообщении форума текст передаётся как есть, что позволяет использовать XSS.

Добавлено: Ср, 24.12.08 14:15:15
user_11926
Но JS фильтруется, это уже хорошо ... :!!)):

Добавлено: Ср, 24.12.08 14:53:53
user_11926
Нет JS таки не экранируется!
http://atn.kharkov.ua/forum/viewtopic.php?p=79495

Добавлено: Ср, 24.12.08 15:16:44
user_11926
htmlspecialchars() - этой функции будет вполне достаточно для фильтрования тэгов, также рекомендую проверить как происходит вставка текстовых полей в таблицу через окно комментариев на сайте, если там ни чего нет, то добавьте функцию addslashes() перед вставкой в таблицу.

Добавлено: Ср, 24.12.08 16:16:27
user_18226
Кстати заметил ещё одну вещь: текст, идущий в форуме как "просто текст" при попадании на главную понимается как html-разметка.
Видно в той же ветке про ЖД:
  • Второе сообщение: я пытаюсь вставить текст ссылки прямо со страницы новости: в результате на странице новости это просто текст, на странице форума - гиперссылка.
  • Третье сообщнеие: я уже в форуме пытаюсь вставить текст ссылки, он успешно вставляется и отображается на форуме как текст, но на странице новости выглядит как гиперссылка
Если не совсем понятно, что я имел ввиду, поясняю: когда я вставляю текст, содержащий элементы html, я ожидаю что и на форуме и на странице новости он будет показываться как текст, а не как разметка.

Re: отправка комментария с главной

Добавлено: Ср, 24.12.08 16:24:28
Alla
шкипер писал(а):Не экранируется включения html-кода при отправке сообщений со страницы новостей.

На странице новостей получается просто текст, в сообщении форума текст передаётся как есть, что позволяет использовать XSS.
Спасибо, все замечания программисту переданы. Он посмотрит, что возможно сделать.
Все возможности по написанию и оформлению своих коментов присутствуют в форуме. Главная страница для этого мало приспособлена.

Добавлено: Ср, 24.12.08 16:34:09
user_11926
К стати Шкипер, я тебе также должен сказать спасибо, я делал заказчику сайт, так же как и у АТН синхронизированный с форумом phpBB, сейчас проверил, проблема та же. :bax:

Добавлено: Ср, 24.12.08 17:26:33
Alla
scorpion писал(а):К стати Шкипер, я тебе также должен сказать спасибо, я делал заказчику сайт, так же как и у АТН синхронизированный с форумом phpBB, сейчас проверил, проблема та же. :bax:
Подскажите, как решили эту проблему. Можно в личку.

Добавлено: Ср, 24.12.08 17:58:23
user_11926
Я как сам разберусь, напишу, возможно, сегодня вечером.

Добавлено: Ср, 24.12.08 23:44:59
user_11926
Как я уже заметил ранее, в моем случае при вставке нового сообщения было достаточно обработать сообщение и имя пользователя функцией htmlspecialchars

Пример:

Код: Выделить всё

$message = htmlspecialchars($_POST['message']);
После этого все введенные тэги HTML будут преобразовываться, в сущности.

Пример:

Код: Выделить всё

было:
<script type="application/javascript">alert('3test3');</script>
станет:
<script type="application/javascript">alert('3test3');</script>
При выводе все браузеры их автоматически приводят к нормальному видимому тексту.

Добавлено: Чт, 25.12.08 11:12:08
Alla
scorpion писал(а):Как я уже заметил ранее, в моем случае при вставке нового сообщения было достаточно обработать сообщение и имя пользователя функцией htmlspecialchars

Пример:

Код: Выделить всё

$message = htmlspecialchars($_POST['message']);
После этого все введенные тэги HTML будут преобразовываться, в сущности.

Пример:

Код: Выделить всё

было:
<script type="application/javascript">alert('3test3');</script>
станет:
<script type="application/javascript">alert('3test3');</script>
При выводе все браузеры их автоматически приводят к нормальному видимому тексту.
Спасибо - может и нам в нагоде будет.