| |
|
|
| | Есть такая строка кода
$news= preg_replace("/[^а-я a-z0-9]/i", "", $_GET['news']);
|
она вырезает все кроме строчных и заглавных букв латиницы, кирилицы и цифры соответственно, до этого я как то додумался и сам, естественно просматривая чужой код, может и неправильно чего сделал, но оно работает.
Проблема в следующем, в новостях то может быть и +-";#$@! и так далее, так вот, как их добавить к выражению, все возможные значения, и какие не стоит добавлять в целях безопасности скрипта??? | |
| |
|
|
| |
|
|
| |
для: snimd
(13.04.2005 в 23:23)
| | | Мне кажется, что нужно пойти другим путем.
Все таки, формат новостей, действительно, очень свободный – произвольный текст. И почти точно чего-нибудь не учтем. А если учтем все, то подобная проверка будет просто не нужна, так она пропустит и опасный код тоже.
Может быть ограничится чем-нибудь подобным
<?
$_GET['news'] = htmlspecialchars(stripslashes($_GET['news']));
?>
|
По ссылке статья про защиту WEB-приложений
http://www.softtime.ru/info/articlephp.php?id_article=35 | |
| |
|
|
| |
|
|
| |
для: glsv (Дизайнер)
(13.04.2005 в 23:38)
| | |
htmlspecialchars(stripslashes($_GET['news']));
|
Это само собой, но все же хотелось бы вырезать опасное и ненужное, кроме того проверка будет проводится на странице javascript-ами.
А вырезание предпринимается для того, дабы Хацкеры не смогли нафлудить, htmlspecialchars не особо помог в этом плане, есть к сожелению печальный опыт, да и в новостях, хотелось бы использовать HTML таги...
Так вот меня все же интересует регулярное выражение дабы вырезать лишнее, и какие символы опасны!!! | |
| |
|
|
| |
|
|
| |
для: snimd
(13.04.2005 в 23:52)
| | | >да и в новостях, хотелось бы использовать HTML таги.
Хорошая защита всегда предполагает усложнение работы. Чем лучше защита, тем меньше возможностей и неудобней работа. Использование тегов HTML – потенциальная большая опасность. Лучше использовать теги bbcode, как на этом форуме в форме добавления постов, а чистый HTML запретить. | |
| |
|
|
| |
|
|
| |
для: glsv (Дизайнер)
(13.04.2005 в 23:59)
| | | Все это конечно интересно, но все это уже мной прочитано, на данный момент меня интересует урезать все, что опасно, и как это записать в регулярном выражении, особенно как пишутся регулярные выражения, так как пока достойной статьи по этой теме я не нарыл, все как то так мутно и не понятно, может оно и понятно, на для того, кто первый раз с этим столкнулся совсем трудно пережевать, хоть примеры были бы более достойные, для тех кто совсем ниче не понимает, расжованные, и т.п. и т.д., а то в основном пишут как для профи, я "Искусство программирования" Кнута читал, мне там на много понятней, чем то, что я нарыл в инете, может кто знает где чего можно нарыть, буду очень признателен!!! | |
| |
|
|
| |
автор: Serge (16.04.2005 в 02:16) |
|
| |
для: snimd
(14.04.2005 в 21:09)
| | | Чудесная статья по регулярным выражениям.
Думаю, будет интересна всем!!! | |
| |
|
|
|
| |
|
|
| |
для: isset
(16.04.2005 в 02:30)
| | | Ммм... Фридла отсканировали? А адрес постоянный (смущает отсутствие доменного имени)? На него часто приходится ссылаться, хорошо бы если ссылка была постоянной... | |
| |
|
|
| |
|
|
| |
для: isset
(16.04.2005 в 02:30)
| | | Огромное спасибо за Фридла, давно искал, мне ее неоднократно рекомендовали, но найти не смог... | |
| |
|
|
| |
|
|
| |
для: snimd
(19.04.2005 в 19:34)
| | | Ссылка битая :( Бросьте кому не жалко на mailto:support@autolegra.ru | |
| |
|
|
