@phpgeeks
?06.05.2017
16:40:10
16:40:10
#whois
1. Рекламное агенство
2. Все что связано с беком и фронтом на пыхе, vue, etc
3. Фуллстек сколько себя помню ?
Alexander06.05.2017
16:40:29
16:40:29
#whois
1. vsemayki.ru, fullstack developer
2. php7(laravel, yii2, etc), typescript(react, vuejs, etc), nodejs, go (SOA)
3. Немного о себе: я наркоман
Google
f4rt~06.05.2017
16:46:40
16:46:40
https://gist.github.com/mrcat323/0d22099dcc0ee326231d51cd06b2faff
$_REQUEST["word"] = "<br>123</br>";
$word = $_REQUEST["word"];
$result = htmlspecialchars(stripslashes($word), ENT_NOQUOTES);
var_dump($result);оберни в какую-то ф-цию мб, если принципиально
$returnData = stripslashes(strip_tags(htmlspecialchars(trim($data))));
return $returnData;
но лучше от инъекций подготовленные запросы
Mr06.05.2017
16:53:41
16:53:41
f4rt~06.05.2017
16:56:39
16:56:39
экранируй
Mr06.05.2017
16:59:20
16:59:20
да
f4rt~06.05.2017
16:59:25
16:59:25
можешь поглядеть в сторону filter_input
Evgeniy06.05.2017
16:59:30
16:59:30
за бреж я вижу?
GoogleEvgeniy06.05.2017
16:59:52
16:59:52
оберни в какую-то ф-цию мб, если принципиально
$returnData = stripslashes(strip_tags(htmlspecialchars(trim($data))));
return $returnData;
но лучше от инъекций подготовленные запросы
это вообще от sql иньекций не спасетчто ты написал
Mr06.05.2017
17:04:47
17:04:47
от XSS
Evgeniy06.05.2017
17:05:45
17:05:45
данные ты куда размещаешь?
Mr06.05.2017
17:05:53
17:05:53
БД
Evgeniy06.05.2017
17:05:53
17:05:53
просто в html
Mr06.05.2017
17:06:02
17:06:02
нет
Evgeniy06.05.2017
17:06:04
17:06:04
причем тут бд и xss ?
как оно связано ?
в бд можно сделать sql injection
из бд можно вытащить данные
Mr06.05.2017
17:06:45
17:06:45
все же хочу защититься от XSS
Evgeniy06.05.2017
17:06:47
17:06:47
и при отрисовке пользователя его кука например уйдет на сторонний сайт
Mr06.05.2017
17:06:53
17:06:53
некрасиво смотриться
Evgeniy06.05.2017
17:06:53
17:06:53
данные в бд
хочешь отоброзить их на сайте
условно твои данные в шаблоне могут попасть в следущие категории
1. Внуторь тэга (например <div>$content</div>
2. В атрибуты тэга <div data-my-attr="$content"></div>
3. В урл ссылки <a href="?query=$content">link</a>
GoogleEvgeniy06.05.2017
17:08:59
17:08:59
ну и 4 вариант по сути равносильный третьем <script>$content</script>
у тебя какой вариант?
Mr06.05.2017
17:09:38
17:09:38
1
Evgeniy06.05.2017
17:10:47
17:10:47
http://php.net/manual/ru/function.htmlspecialchars.php
при условии нормальной кодировки
как написано в описание функции
Evgeniy06.05.2017
17:11:27
17:11:27
все в доке написано
черным по серому русскими буквами
stripslaches тут избыточен
а еще есть вариант что данные попадут в <img src="$content"> пятый вариант)
f4rt~06.05.2017
17:13:35
17:13:35
&& oneerror onclick
Evgeniy06.05.2017
17:13:56
17:13:56
onerror onclick равносильно <a href="любой js"Ю
браузер в адресной строке Js исполняет
а в img src можно вернуть документ типом джаваскрипт и его браузер тоже исполнит
f4rt~06.05.2017
17:17:07
17:17:07
бля давно в спецификацию не заглядывал
Mr06.05.2017
17:17:24
17:17:24
так что мне делать?
Mr06.05.2017
17:18:02
17:18:02
та не работает
GoogleMr06.05.2017
17:18:14
17:18:14
весь день парюсь из-за нее
Evgeniy06.05.2017
17:18:46
17:18:46
что не работает
Mr06.05.2017
17:19:08
17:19:08
htmlspecialchars
Evgeniy06.05.2017
17:20:12
17:20:12
у тебя в шаблоне
<a href="article.php?id=',$id
$Id из бд используется
$row['id']
который ссылку формирует
AdminERROR: S client not available
Evgeniy06.05.2017
17:21:10
17:21:10
сделай $id = htmlspecialchars($row['id']); и так для всех что в html выводишь
Mr06.05.2017
17:21:33
17:21:33
ок, благодарен
Evgeniy06.05.2017
17:22:07
17:22:07
чем больше людей не читают документацию
тем дороже я как специалист для работадателя
и тем выше я могу просить зп)
для этого в 2006 году на языке шаблонизатора
начали писать шаблонизаторы
всякие smarty, twig и тд
там автоматический эскейпинг
чтобы такого не было
чтобы не забыть случайно через эту функцию что нибудь прогнать
Googlef4rt~06.05.2017
17:24:10
17:24:10
вот ты сейчас помог человекУ, можно сказать копеечку от сердца оторвал
Tania06.05.2017
17:33:40
17:33:40
Ребята, сорри за нубские вопросы, не часто пользуюсь Telegram. но как по тегам искать? у меня версия для ПК
f4rt~06.05.2017
17:34:11
17:34:11
Ребята, сорри за нубские вопросы, не часто пользуюсь Telegram. но как по тегам искать? у меня версия для ПК
или нажать на тег, он кликабельныйTania06.05.2017
17:35:49
17:35:49
о, спс))
Дмитрий06.05.2017
17:42:28
17:42:28
/link@yetanotherstatsbot
Yet Another Stats06.05.2017
17:42:28
17:42:28
https://yasb.exileed.com/t/phpgeeks
Дмитрий06.05.2017
17:42:40
17:42:40
/stat@combot
Combot06.05.2017
17:42:40
17:42:40
combot.org/chat/-1001047863278
Mr06.05.2017
17:44:27
17:44:27
https://gist.github.com/mrcat323/0d22099dcc0ee326231d51cd06b2faff
Владимир06.05.2017
17:44:30
17:44:30
О, в ретенш рейтинге в тройке держусь)
Evgeniy06.05.2017
17:44:43
17:44:43
все равно не работает htmlspecialchars для $_REQUEST["word"]
ты сам в адресной строке пишешь <script>alert("xss")</script>?Mr06.05.2017
17:45:03
17:45:03
в поле для ввода
Evgeniy06.05.2017
17:48:27
17:48:27
а где ты его выводишь на экран
Evgeny_3006.05.2017
17:48:35
17:48:35
Бобрый вечер!
Evgeniy06.05.2017
17:48:47
17:48:47
я почти на 100% уверен ты показываешь не тот участок кода где выводится твой word
Mr06.05.2017
17:50:03
17:50:03
это тот участок кода где выводиться мой word
Открыть в Telegram