| |
|
|
| | Вот появилась задача, разрешить пользователям использовать ббкоды со стандартными b i, всё понятно, с url тоже понятно. Но вот как быть в случае с [img]? Ведь она выводится! Мы тут с другом на форуме ИПБ, на нашем, провели эксперимент, с нашего же сервера подключили ссылку на файл скрытую в img тег. файл подключился и мы смогли получить ip сервера.
Да, мы получили самое простое, но ведь умельцы могут получить и что то более сложное и как то навредить. Или нет?
Возможно ли как то защититься? | |
| |
|
|
| |
|
|
| |
для: Diablo_
(30.07.2010 в 21:34)
| | | А что за секрет IP сервера?
И точно ли
>с url тоже понятно
?
Это самое слабое место кстати. Как и картинки. А защищать просто. Во первых не давать постить ничего, что не начинается с http(s) - первое, не давать возможности исполнять JS в теге - второе. | |
| |
|
|
|
| |
|
|
| |
для: sim5
(30.07.2010 в 22:05)
| | | Оно мне на кой? | |
| |
|
|
| |
|
|
| |
для: Николай2357
(30.07.2010 в 22:07)
| | | Я о https. :) Да и сам по себе url в src изображения, без посторонней помощи ничего не сделает. | |
| |
|
|
| |
|
|
| |
для: sim5
(30.07.2010 в 22:10)
| | | Я про ссылки имел ввиду. Кстати, эти bb-шки большой головняк. Вот я тут озадачился на досуге... Сырой еще, на обкатке. Но длинные строки в подсветке режет. Самое больное место этого форума. )) | |
| |
|
|
| |
|
|
| |
для: Николай2357
(30.07.2010 в 22:14)
| | | Надо другое что либо придумать, типа:
[код тега,парность тега,дина строки им обрамляющая,доп. параметры тега]текст......
) | |
| |
|
|
| |
|
|
| |
для: Николай2357
(30.07.2010 в 22:01)
| | | ага....вот такая ссылка, http://hackers.cn/sniff.jpg удовлетворяет твоим требованиям?))) Да! А это воришка куков))))))))
Что на это скажешь? | |
| |
|
|
| |
|
|
| |
для: Diablo_
(30.07.2010 в 22:14)
| | | Каких куков-муков? Если нет гет-параметров и не дать возможность исролнить JS, то как их стырить? | |
| |
|
|
| |
|
|
| |
для: Николай2357
(30.07.2010 в 22:16)
| | | а если эта картинка будет исполняемым пхп файлом, он выполнится! и чего ты к ява прицепился! угомонись с ява! | |
| |
|
|
| |
|
|
| |
для: Diablo_
(30.07.2010 в 22:23)
| | | Вы отдаете пользователю так <img src=http://hackers.cn/sniff.jpg>, где тут исполнение РНР? | |
| |
|
|
| |
|
|
| |
для: Diablo_
(30.07.2010 в 22:23)
| | | Мнда.... Параноя - не лучшее качество программиста. Как он выполнится? Если это .gif а не .php? Да даже если и выполнится, то что? Куку может стырить только JS, так как он на клиенте. (алэш не рассматриваем) И потом передать на снифер. А PHP на сервере чем может клиенту навредить? | |
| |
|
|
| |
|
|
| |
для: Николай2357
(30.07.2010 в 22:29)
| | | хорошо. Как тогда защититься от исполнения ява скриптов? | |
| |
|
|
| |
|
|
| |
для: Diablo_
(30.07.2010 в 22:35)
| | | Ссылки преобразовывать только с протоколом. Остальные лесом. И не давать возможность провести в тег кавычки, апострофы и пробелы. Впрочем и всё. | |
| |
|
|
| |
 262.4 Кб |
|
| |
для: Николай2357
(30.07.2010 в 22:45)
| | | Кстати, кому интересно =====================================>
Только предупреждаю, сырой скрипт. Может кто подскажет тонкие места. | |
| |
|
|
| |
|
|
| |
для: Николай2357
(30.07.2010 в 22:45)
| | | Сырой и невидимый ) | |
| |
|
|
| |
|
|
| |
для: sms-send
(30.07.2010 в 22:56)
| | | Чёт не залился с первого раза. ((( | |
| |
|
|
| |
|
|
| |
для: Николай2357
(30.07.2010 в 22:58)
| | | return '<a href="http'. $match[1] .'://'. $match[2] .'" target="_blanck" >'. $match[3] .'</a>';
не blanck, а blank | |
| |
|
|
| |
|
|
| |
для: Diablo_
(30.07.2010 в 23:28)
| | | Спасибо)) | |
| |
|
|
