Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
новые дыры... 04.03.05 10:35 Число просмотров: 1999
Автор: paganoid Статус: Member Отредактировано 04.03.05 10:58 Количество правок: 2
|
> Проверьте ещё раз, плз. > А есть ли какая-нибудь литература по безопасному > cgi-программированию? > Какие символы в переменных надо фильтровать? (или лучше > обратиться с этим вопросом в другой раздел?)
вобщем я там теперь сам n0xi0uz . Вызвано твоими героическими вырезаниями XXX и, видимо, проверкой существования юзера до фильтрации из его ника символов.
Кроме того, есть крепкие подозрения насчет последовательности <>, похоже там ваще записи поехали.
вообще по жизни надо не РЕЗАТЬ, а ЭСКЕЙПИТЬ, причем и по мере вывода тоже, а не только
на фазе сохранения.
Т.е. ЕЖЕЛИ
все, что кладется в базу, окружать '' и эскейпить ' И
во все что кладется в базу-текстфайл вырезать разделитель (или эскейпить, хотя редко на
этой фазе самосознания вообще что либо эскейпят ) И
во всем , что печатается в страницу, заменять html спецсимволы И
во все, что печатается в урлу, делать urlencode и окружать "" И
во всем, что печатается в куки и хедеры, вырезать перевод кареты, И
во всем, что фигуряет в названиях файлов и системных комманд,
вырезать коммандные спецсимволы (на крайняк оставлять только английские буквы) И
если есть какие-та самописные конфиги, там уже надо по формату смотреть, разумеется. Вероятно надо резать переводы кареты.
ТО
жизнь сайта станет гораздо легче, но скушнее.
А ЕСЛИ
не выполняется хотя бы один пункт, жизнь сайта станет тяжелее, но интереснее ;)
А ты, вместо того чтобы при выводе в урле urlencode натравить на параметры и href нормальный с кавычками сделать (да, да, ВЕЗДЕ на форуме, ломает, но...), просто "XXX" вырезал - хотя вполне нормальный символ для имени хехех..
|
|
|