java injection, XSS и прочее

[Tryapkonator]

Обрабатываю BB тэги, и не могу придумать универсальную регулярку, чтобы обработать переменную на наличие "javascript:" итп, Т.е. от "javascript:" не нужна, но ведь можно написать и так "j a v a s cript:" и скрипт выполнится. Можно записать "javascript:" и куча еще разных способов. Впринципе опасный тег только . Т.е. чтобы xss заработал надо либо "/^(j|&#106)\\s(a|&#97)\\s(v|&#118)\\s(a|&#97)\\s(s|&#115)\\s(c|&#99)\\s(r|&#114)\\s(i|&#105)\\s(p|&#112)\\s(t|&#116):/i
Поправьте, пожалуйсто, если что не так...

[Макс]

имхо надо отказаться от универсальной регулярки и для каждого ББкода сделать свою.

[Tryapkonator]

У меня только [img], [url] и [email]. Т.е. принцип один и тот же. Мне нужно защититься только от "javascript:", обойти ковычку не получится, т.е. до "style=\'background-image:url(javascript:" не дойти.

[Макс]

Я бы эти 3 одним регекспом не делал. Можно конечно, но слишком запутаный код получится.
Вот пример для URL-а :

function highlight_url($url) {
   if (preg_match("~^(?:(?:https?)://(?:[a-z0-9_-]{1,32}".
   "(?::[a-z0-9_-]{1,32})?@)?)?(?:(?:[a-z0-9-]{1,128}\\.)+(?:com|net|".
   "org|mil|edu|arpa|gov|biz|info|aero|inc|name|[a-z]{2})|(?!0)(?:(?".
   "!0[^.]|255)[0-9]{1,3}\\.){3}(?!0|255)[0-9]{1,3})(?:/[a-z0-9.,_@%&".
   "?+=\\~/-]*)?(?:#[^ \'\\"&<>]*)?$~i",$url)) {
      return \'<a href="\'.$url.\'" target="blank">\'.htmlspecialchars($url).\'</a>\';
   } else {
      return \'[ url]\'.htmlspecialchars($url).\'[/url]\';
   }
}
$str = "test 
[ url]http://ya.ru[/url] test 
[ url]javascript:alert(\'test\')[/url]";

echo preg_replace("~\\[url\\](.+?)\\[\\/url\\]~ei", "highlight_url(\'\\\\1\')", $str);

скорее всего форум некоторые слеши повырезает, поэтому смотри логику а не copy/paste

[Макс]

как и ожидалось, форум удалил некоторые слеши
+
я вставил пробелы, чтобы он теги [url] в примере не парсил

[Tryapkonator]

Ок. Спасибо. Но мне немного не то нужно. Мне нужно вырезать "javascript:" из указанной переменной... Т.е. мне не нужно проверять на правильность url`а. Мне нужно лишь распознать "javascript:"... А может есть какая-нить функциия встроенная, которая удалит яву?

[Макс]

Tryapkonator:
но ведь можно написать и так "j a v a s cript:" и скрипт выполнится

в каком это броузере такое ?
firefox таким не страдает :

Код: [Выделить]


click here



[Tryapkonator]

Макс:
firefox таким не страдает :

А ты предлогаешь насильно заставлять всех поситителей ставить FF? =))) Есть такое. При написании javascript: можно использовать символы пробела, табуляции и переноса коретки. Вот такая вот лажа =(

Браузер - IE. В Опере не пробовал, но IE хватит =)

[Макс]

хмм... в IE 6 у меня не сработало
так попробуй
$str = preg_replace("~\\s*j\\s*a\\s*v\\s*a\\s*s\\s*c\\s*r\\s*i\\s*p\\s*t\\s*:~s", \'\', $str);

[Tryapkonator]

Макс:
хмм... в IE 6 у меня не сработало так попробуй $str = preg_replace("~\\s*j\\s*a\\s*v\\s*a\\s*s\\s*c\\s*r\\s*i\\s*p\\s*t\\s*:~s", \'\', $str);

Ок!! Спасибо!!! Только еще нужно предусмотреть "JaVaScRiPt:" и 16-ти ричную кодировку. Как я понял что-то типа

$str = preg_replace("~\\s*(j|j)......\\s*:~si", \'\', $str);

?

[Макс]

Tryapkonator:
"java script:"

так ведь такая строка  будет вырезана этим регекспом

Tryapkonator:
16-ти ричную кодировку.

(j|\\xFF) - вместо \\xFF - должен быть реальный код

[Tryapkonator]

Хм... я вставил именно 16-ти ричный, но форум обработал его и вывел "j"...