Forum PHP Romania - Discutii despre PHP, MySQL, Javascript, AJAX, etc

[mblaky]

function nocode($text){
$nocode = array('<'=>'< ','"'=>'`',"'"=>"`");
$dta = strtr($text, $nocode);
$nocode = array('< b'=>'<b','< i'=>'<i','< u'=>'<u','< /b'=>'</b','< /i'=>'</i','< /u'=>'</u');
return strtr($dta, $nocode); }

Daca aveti un chat pe site, userul poate scrie mesaje de genu <script>windows.location='bla bla'</script> sau alte mesaje care vor nenoroci site-ul dvs...

Eu pentru un chat de pe site-ul meu iau mesajele din mysql le salvez pe toate intr-o variabila ( $mesaje .= "<div id, class..>[$nickname] $msg</div>"; ... fiecare mesaj unu dupa altu ) si dupa ce ies din while` de la mysql_fetch_array ... le afisez cu echo nocode($mesaje); ....

codu nu inlocuiteste decat '<' cu '< ' si in cazu in care userul foloseste taguri precum '<b>', '<i>', '<u>' il lasa sa le foloseasca inlocuind dupa prima modificare '< b' cu '<b'.


.... sper ca ati inteles ce face si sa va foloseasca :)

[saitek]

Mamamamamammamamama ba cum ai facut baaaaaaaaaaaaaaaaaaa,ce tare esti,mamamamamam,ba copile tu de strip_tags ai auzit?sau de htmlspecialchars,si ce ai spus tu se numeste vulnerabilitate xss.

[mihaitha]

Asa se intampla cand nu citesti manualul inainte sa te apuci sa scrii cod, ajungi sa reinventezi roata. Eu unul ma bucur ca unii mai au bunavointa de a-si bate capul cu unele probleme si nu se rezuma la a urla pe forum-uri dupa cod de-a gata.

[PHPRomania Bot]