GB. Posted June 21, 2010 Report Posted June 21, 2010 <font size="3"><img src=\"http://gb.id.lv/bildes/logo.png\". alt=\"Alternatīvais bildes apraksts, ja bilde netiek. ielādēta\" title=\"Tooltips, kas parādās uzbraucot uz. bildes\" /> </font> ievietojot lapa bildes - vai kadu citu kodu - lapas Source paras kjeburi un bilde neatelojas :( Kas varetu but par vainu ?? Un kaa to izlabot ?
waplet Posted June 21, 2010 Report Posted June 21, 2010 doh pareizi... tu 100% nepareiz liec.. tev tiek apstrādats ar htmlspecialchars.. un kā gan tu vēlies eksekjūtot html tagus, ja viņi tiek "aizstāsti" tikai par rakstiski tādiem?
mounkuls Posted June 21, 2010 Report Posted June 21, 2010 Šaubos vai no šā vien mēs to varam pateikt. Man ir aizdomas, ka tos img tagus ievieto no kādas formas, kuras post datus pirms ievieto, apstrādā ar kādu htmlspecialchars vai kādu repleisu un eskeipojas pēdiņas. Visdrīzāk, lieto aizsardzību neppareizi lapai(bet tas tikai minējums).
waplet Posted June 21, 2010 Report Posted June 21, 2010 Šaubos vai no šā vien mēs to varam pateikt. Man ir aizdomas, ka tos img tagus ievieto no kādas formas, kuras post datus pirms ievieto, apstrādā ar kādu htmlspecialchars vai kādu repleisu un eskeipojas pēdiņas. Visdrīzāk, lieto aizsardzību neppareizi lapai(bet tas tikai minējums). Ne tikai pēdiņas.. pasties uz < un > :)
GB. Posted June 21, 2010 Author Report Posted June 21, 2010 (edited) nu lapa ir http://gb.id.lv , taa pati joku lapa kas te pa forumu tika vazata , nju jaa viss tiek pievienots caur formu - ja nemaldos glabajas db un talak ar funkcijam tiek atelots uz galvenas index lapas ! Tikai kapec vins tos simbolu taisa par kjeburiem ? $go = "INSERT INTO `joki` (nosaukums, saturs, pievienoja, laiks, ip, kat_id) VALUES('".htmlspecialchars($virsraksts)."','".htmlspecialchars($saturs)."','".htmlspecialchars($segvards)."','".$laiks."','".$ip."', '".$_POST['kat']."')"; Pastudeju un saprayu ka ar sadu kodu taisa tos kjeburus ne ? <?php function special_formatting($input) { $output = htmlspecialchars($input, ENT_QUOTES); $output = str_replace(array(' ', "\n"), array(' ', '<br>'), $output); return str_replace(' ', ' ', $output); } ?> Edited June 21, 2010 by GB.
waplet Posted June 21, 2010 Report Posted June 21, 2010 nu jā .. padomā loģiski kas tev būtu jādara, lai varetu pievienot biuwžas :) un aizsardzībai izmanto mysql_real_escape_string nevis htmlspecialchars
mounkuls Posted June 22, 2010 Report Posted June 22, 2010 Pie patreizējā query es ar post tur tāāāaaaaadu $_POST['kat'] varu ielikt...:)
codez Posted June 22, 2010 Report Posted June 22, 2010 htmlspecialchars($input, ENT_QUOTES, 'UTF-8');
GB. Posted June 22, 2010 Author Report Posted June 22, 2010 htmlspecialchars($input, ENT_QUOTES, 'UTF-8'); domā ar šito iees ?
GB. Posted June 22, 2010 Author Report Posted June 22, 2010 nu jā .. padomā loģiski kas tev būtu jādara, lai varetu pievienot biuwžas :) un aizsardzībai izmanto mysql_real_escape_string nevis htmlspecialchars tad tu saki ka htmlspecialchars janomaina ar mysql_real_escape_string un viss bus ok ?? izmeginaju - saaak sanak , lai gan pats neapjedzu ko daru
waplet Posted June 22, 2010 Report Posted June 22, 2010 Nē, lai stradātu tā, kā tu to domā vajag to visu savādākā veidā darīt.. un te nu ir jāpadomā..
briedis Posted June 22, 2010 Report Posted June 22, 2010 GB smags gadījums, kaut ko grib panākt, bet nezin ko... Varbūt tiešām vajag palasīt kaut ko par XSS un SQL injections... Nu kaut kādus pamatus, vismaz... Citādi bezcerīgi iestāstīt te kaut ko, ja nav saprašanas pat par pamata lietām...
Maaren Posted June 22, 2010 Report Posted June 22, 2010 (edited) htmlspecialchars neņem nost, savādāk tev kāds iepostos kādu redirektu vai ko citu. <meta http-equiv="REFRESH" content="0;url=http://www.internetshouldbeillegal.com/"> Labāk html tegu pieveinošanai izmanto BBCode: [img= source ] un tad apstrādā ar php, kad velc ārā. Edited June 22, 2010 by Maaren
Recommended Posts