| |
|
|
| | В моём главном конфигурационном Файле я проверяю на XSS атаки таким способом:
<?
define("LIF_QUERY", $_SERVER['QUERY_STRING']);
if ((eregi("<[^>]*script*\"?[^>]*>", LIF_QUERY)) || (eregi("<[^>]*object*\"?[^>]*>", LIF_QUERY)) ||
(eregi("<[^>]*iframe*\"?[^>]*>", LIF_QUERY)) || (eregi("<[^>]*applet*\"?[^>]*>", LIF_QUERY)) ||
(eregi("<[^>]*meta*\"?[^>]*>", LIF_QUERY)) || (eregi("<[^>]*style*\"?[^>]*>", LIF_QUERY)) ||
(eregi("<[^>]*form*\"?[^>]*>", LIF_QUERY)) || (eregi("\([^>]*\"?[^)]*\)", LIF_QUERY))) {
die ("Access Violation");
}
?>
|
что ещё можно добавить к этому?
как сделать чтобы нельзя было использовать sql запросы в url?
как проверить url полностью на вредноносный код?
спасибо. | |
| |
|
|
| |
|
|
| |
для: JIEXA
(24.03.2005 в 07:53)
| | | Можно подставить ещё union, select, delete, drop...
Хотя если параметров не много - лучше их все проверить по отдельности. | |
| |
|
|
| |
|
|
| |
для: JIEXA
(24.03.2005 в 07:53)
| | | Данные проверки обходятся использованием табуляции в слове "scrip t" | |
| |
|
|
