|
| |
|
|
| |
для: Киналь
(11.08.2012 в 21:48)
| | | :)))
Это на Таджикском языке. | |
| |
|
|
| |
|
|
| |
для: Jovidon
(11.08.2012 в 21:09)
| | | Нет, такой ссылки я вам дать не могу, потому, что не знаю сетевого ресурса, где бы было описано все касающееся безопасности. Безопасность веб-приложений, это серьезный и обширный вопрос, что-то касающееся баз данных можно прочесть на одних ресурсах, что-то касающееся серверных скриптов на других, о html еще где-то... В общем искать надо, есть в сети много информации по данным вопросам.
Что касается htmlspecialchars(), то это не обязательно вопрос безопасности. Вот код:
<?
if($_POST) {
echo$_POST['txt'];
}
?>
<form method="post">
<textarea name="txt"><? echo "Текстовая область начинается с открывающего тега <textarea>,
и заканчивается закрывающим тегом </textarea>"; ?></textarea>
<input type="submit" value="Send" />
</form>
|
Что наблюдается на странице, какова форма? И что получается после ее отправки?
А теперь так:
<?
if($_POST) {
echo htmlspecialchars($_POST['txt']);
}
?>
<form method="post">
<textarea name="txt"><? echo htmlspecialchars("Текстовая область начинается с открывающего тега <textarea>,
и заканчивается закрывающим тегом </textarea>"); ?></textarea>
<input type="submit" value="Send" />
</form>
|
А теперь как?
Если так выводить данные, не обработав их, то можно и вторгнуться в компьютер вашего пользователя, украв у него кое что ценное. Этот пример ничего не ворует, он просто демонстрирует, что произойдет на странице пользователя, если вы необработанные данные пришедшие из формы выведите на страницу:
<?
$_POST['text'] = '<script>alert("Я готов похитить cookies пользователя!")</script>';
echo '<p>Пользователь Jovidon прислал следующее сообщение'.$_POST['text'].'</p>';
|
А если их обработать то ничего страшного для пользователя уже не произойдет:
<?
$_POST['text'] = '<script>alert("Я готов похитить cookies пользователя!")</script>';
echo '<p>Пользователь Jovidon прислал следующее сообщение'.htmlspecialchars($_POST['text']).'</p>';
|
Открывайте руководство РНР и прочтите об этой функции, что она делает. | |
| |
|
|
| |
|
|
| |
для: Jovidon
(11.08.2012 в 21:39)
| | | > Бо муваффак ворид карда шуд!
Это просто набор букв? | |
| |
|
|
| |
|
|
| |
для: Киналь
(11.08.2012 в 21:28)
| | | не понял ваш вопрос? | |
| |
|
|
| |
|
|
| |
для: Jovidon
(11.08.2012 в 20:53)
| | | Это на каком-то языке или просто бессмыслица? | |
| |
|
|
| |
|
|
| |
для: confirm
(11.08.2012 в 20:59)
| | | >это ваша ОБЯЗАННОСТЬ пропускать через эту функцию выводимые на страницу данные!
Дайте ссылку как зашитить сайть
5 месяц ищу книгу головолмки для хакера ни где нет.
Я знаю что нечего не знаю. | |
| |
|
|
| |
|
|
| |
для: Jovidon
(11.08.2012 в 21:02)
| | | У вас эта переменная вообще не приходит на данную страницу, а вы ее в форму вставляете, а потом пытаетесь получить. | |
| |
|
|
| |
|
|
| |
для: confirm
(11.08.2012 в 20:59)
| | | а а
ощибка
<b>Notice</b>: Undefined index: id in <b>D:\xampp\htdocs\sitei.mo\admin\lesson\add.php</b> on line <b>33</b> | |
| |
|
|
| |
|
|
| |
для: Jovidon
(11.08.2012 в 20:53)
| | | Это не способ, это ваша ОБЯЗАННОСТЬ пропускать через эту функцию выводимые на страницу данные! Как и нельзя так вносить данные в базу!
Вы знаете как просмотреть исходный код html-страницы? Вот сделайте это и посмотрите код своей формы ПРЕД ОТПРАВКОЙ ее. Есть ли в ней значение у cat_les? | |
| |
|
|
| |
|
|
| |
для: Киналь
(11.08.2012 в 20:48)
| | |
Array
(
[title] => title
[lesson] => lesson
[cat_les] =>
Notice: Undefined index: id in D:\xampp\htdocs\sitei.mo\admin\lesson\add.php on line 33
[x] => 25
[y] => 30
)
|
| |
| |
|
|
|
