GB. Posted June 21, 2010 Report Share Posted June 21, 2010 <font size="3"><img src=\"http://gb.id.lv/bildes/logo.png\". alt=\"Alternatīvais bildes apraksts, ja bilde netiek. ielādēta\" title=\"Tooltips, kas parādās uzbraucot uz. bildes\" /> </font> ievietojot lapa bildes - vai kadu citu kodu - lapas Source paras kjeburi un bilde neatelojas :( Kas varetu but par vainu ?? Un kaa to izlabot ? Link to comment Share on other sites More sharing options...
waplet Posted June 21, 2010 Report Share Posted June 21, 2010 doh pareizi... tu 100% nepareiz liec.. tev tiek apstrādats ar htmlspecialchars.. un kā gan tu vēlies eksekjūtot html tagus, ja viņi tiek "aizstāsti" tikai par rakstiski tādiem? Link to comment Share on other sites More sharing options...
mounkuls Posted June 21, 2010 Report Share Posted June 21, 2010 Šaubos vai no šā vien mēs to varam pateikt. Man ir aizdomas, ka tos img tagus ievieto no kādas formas, kuras post datus pirms ievieto, apstrādā ar kādu htmlspecialchars vai kādu repleisu un eskeipojas pēdiņas. Visdrīzāk, lieto aizsardzību neppareizi lapai(bet tas tikai minējums). Link to comment Share on other sites More sharing options...
waplet Posted June 21, 2010 Report Share Posted June 21, 2010 Šaubos vai no šā vien mēs to varam pateikt. Man ir aizdomas, ka tos img tagus ievieto no kādas formas, kuras post datus pirms ievieto, apstrādā ar kādu htmlspecialchars vai kādu repleisu un eskeipojas pēdiņas. Visdrīzāk, lieto aizsardzību neppareizi lapai(bet tas tikai minējums). Ne tikai pēdiņas.. pasties uz < un > :) Link to comment Share on other sites More sharing options...
GB. Posted June 21, 2010 Author Report Share Posted June 21, 2010 (edited) nu lapa ir http://gb.id.lv , taa pati joku lapa kas te pa forumu tika vazata , nju jaa viss tiek pievienots caur formu - ja nemaldos glabajas db un talak ar funkcijam tiek atelots uz galvenas index lapas ! Tikai kapec vins tos simbolu taisa par kjeburiem ? $go = "INSERT INTO `joki` (nosaukums, saturs, pievienoja, laiks, ip, kat_id) VALUES('".htmlspecialchars($virsraksts)."','".htmlspecialchars($saturs)."','".htmlspecialchars($segvards)."','".$laiks."','".$ip."', '".$_POST['kat']."')"; Pastudeju un saprayu ka ar sadu kodu taisa tos kjeburus ne ? <?php function special_formatting($input) { $output = htmlspecialchars($input, ENT_QUOTES); $output = str_replace(array(' ', "\n"), array(' ', '<br>'), $output); return str_replace(' ', ' ', $output); } ?> Edited June 21, 2010 by GB. Link to comment Share on other sites More sharing options...
waplet Posted June 21, 2010 Report Share Posted June 21, 2010 nu jā .. padomā loģiski kas tev būtu jādara, lai varetu pievienot biuwžas :) un aizsardzībai izmanto mysql_real_escape_string nevis htmlspecialchars Link to comment Share on other sites More sharing options...
mounkuls Posted June 22, 2010 Report Share Posted June 22, 2010 Pie patreizējā query es ar post tur tāāāaaaaadu $_POST['kat'] varu ielikt...:) Link to comment Share on other sites More sharing options...
codez Posted June 22, 2010 Report Share Posted June 22, 2010 htmlspecialchars($input, ENT_QUOTES, 'UTF-8'); Link to comment Share on other sites More sharing options...
GB. Posted June 22, 2010 Author Report Share Posted June 22, 2010 htmlspecialchars($input, ENT_QUOTES, 'UTF-8'); domā ar šito iees ? Link to comment Share on other sites More sharing options...
GB. Posted June 22, 2010 Author Report Share Posted June 22, 2010 nu jā .. padomā loģiski kas tev būtu jādara, lai varetu pievienot biuwžas :) un aizsardzībai izmanto mysql_real_escape_string nevis htmlspecialchars tad tu saki ka htmlspecialchars janomaina ar mysql_real_escape_string un viss bus ok ?? izmeginaju - saaak sanak , lai gan pats neapjedzu ko daru Link to comment Share on other sites More sharing options...
waplet Posted June 22, 2010 Report Share Posted June 22, 2010 Nē, lai stradātu tā, kā tu to domā vajag to visu savādākā veidā darīt.. un te nu ir jāpadomā.. Link to comment Share on other sites More sharing options...
briedis Posted June 22, 2010 Report Share Posted June 22, 2010 GB smags gadījums, kaut ko grib panākt, bet nezin ko... Varbūt tiešām vajag palasīt kaut ko par XSS un SQL injections... Nu kaut kādus pamatus, vismaz... Citādi bezcerīgi iestāstīt te kaut ko, ja nav saprašanas pat par pamata lietām... Link to comment Share on other sites More sharing options...
GB. Posted June 22, 2010 Author Report Share Posted June 22, 2010 Nu taaa jau ir ! Link to comment Share on other sites More sharing options...
Maaren Posted June 22, 2010 Report Share Posted June 22, 2010 (edited) htmlspecialchars neņem nost, savādāk tev kāds iepostos kādu redirektu vai ko citu. <meta http-equiv="REFRESH" content="0;url=http://www.internetshouldbeillegal.com/"> Labāk html tegu pieveinošanai izmanto BBCode: [img= source ] un tad apstrādā ar php, kad velc ārā. Edited June 22, 2010 by Maaren Link to comment Share on other sites More sharing options...
daGrevis Posted June 22, 2010 Report Share Posted June 22, 2010 BB kodi ir neveselīga izeja... =P Link to comment Share on other sites More sharing options...
Recommended Posts