отправка комментария с главной

Правила для нашего форума. Сюда же пишите все свои замечания и предложения по работе сайта и форума.
Ответить
user_18226

отправка комментария с главной

Сообщение user_18226 »

Не экранируется включения html-кода при отправке сообщений со страницы новостей.

На странице новостей получается просто текст, в сообщении форума текст передаётся как есть, что позволяет использовать XSS.
Последний раз редактировалось user_18226 Ср, 24.12.08 16:16:59, всего редактировалось 1 раз.
user_11926

Сообщение user_11926 »

Но JS фильтруется, это уже хорошо ... :!!)):
user_11926

Сообщение user_11926 »

Нет JS таки не экранируется!
http://atn.kharkov.ua/forum/viewtopic.php?p=79495
user_11926

Сообщение user_11926 »

htmlspecialchars() - этой функции будет вполне достаточно для фильтрования тэгов, также рекомендую проверить как происходит вставка текстовых полей в таблицу через окно комментариев на сайте, если там ни чего нет, то добавьте функцию addslashes() перед вставкой в таблицу.
user_18226

Сообщение user_18226 »

Кстати заметил ещё одну вещь: текст, идущий в форуме как "просто текст" при попадании на главную понимается как html-разметка.
Видно в той же ветке про ЖД:
  • Второе сообщение: я пытаюсь вставить текст ссылки прямо со страницы новости: в результате на странице новости это просто текст, на странице форума - гиперссылка.
  • Третье сообщнеие: я уже в форуме пытаюсь вставить текст ссылки, он успешно вставляется и отображается на форуме как текст, но на странице новости выглядит как гиперссылка
Если не совсем понятно, что я имел ввиду, поясняю: когда я вставляю текст, содержащий элементы html, я ожидаю что и на форуме и на странице новости он будет показываться как текст, а не как разметка.
Аватара пользователя
Alla
Site Admin
Сообщения: 1133
Зарегистрирован: Пт, 13.01.06 11:01:07
Откуда: Харьков
Контактная информация:

Re: отправка комментария с главной

Сообщение Alla »

шкипер писал(а):Не экранируется включения html-кода при отправке сообщений со страницы новостей.

На странице новостей получается просто текст, в сообщении форума текст передаётся как есть, что позволяет использовать XSS.
Спасибо, все замечания программисту переданы. Он посмотрит, что возможно сделать.
Все возможности по написанию и оформлению своих коментов присутствуют в форуме. Главная страница для этого мало приспособлена.
user_11926

Сообщение user_11926 »

К стати Шкипер, я тебе также должен сказать спасибо, я делал заказчику сайт, так же как и у АТН синхронизированный с форумом phpBB, сейчас проверил, проблема та же. :bax:
Аватара пользователя
Alla
Site Admin
Сообщения: 1133
Зарегистрирован: Пт, 13.01.06 11:01:07
Откуда: Харьков
Контактная информация:

Сообщение Alla »

scorpion писал(а):К стати Шкипер, я тебе также должен сказать спасибо, я делал заказчику сайт, так же как и у АТН синхронизированный с форумом phpBB, сейчас проверил, проблема та же. :bax:
Подскажите, как решили эту проблему. Можно в личку.
user_11926

Сообщение user_11926 »

Я как сам разберусь, напишу, возможно, сегодня вечером.
user_11926

Сообщение user_11926 »

Как я уже заметил ранее, в моем случае при вставке нового сообщения было достаточно обработать сообщение и имя пользователя функцией htmlspecialchars

Пример:

Код: Выделить всё

$message = htmlspecialchars($_POST['message']);
После этого все введенные тэги HTML будут преобразовываться, в сущности.

Пример:

Код: Выделить всё

было:
<script type="application/javascript">alert('3test3');</script>
станет:
<script type="application/javascript">alert('3test3');</script>
При выводе все браузеры их автоматически приводят к нормальному видимому тексту.
Аватара пользователя
Alla
Site Admin
Сообщения: 1133
Зарегистрирован: Пт, 13.01.06 11:01:07
Откуда: Харьков
Контактная информация:

Сообщение Alla »

scorpion писал(а):Как я уже заметил ранее, в моем случае при вставке нового сообщения было достаточно обработать сообщение и имя пользователя функцией htmlspecialchars

Пример:

Код: Выделить всё

$message = htmlspecialchars($_POST['message']);
После этого все введенные тэги HTML будут преобразовываться, в сущности.

Пример:

Код: Выделить всё

было:
<script type="application/javascript">alert('3test3');</script>
станет:
<script type="application/javascript">alert('3test3');</script>
При выводе все браузеры их автоматически приводят к нормальному видимому тексту.
Спасибо - может и нам в нагоде будет.
Ответить

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 16 гостей