ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Программирование > PHP, PERL, MySQL, JavaScript
Перезагрузить страницу Какие есть минусы у htmlentities?
   
Закрытая тема
 
Опции темы Поиск в этой теме Опции просмотра

Какие есть минусы у htmlentities?
  #1  
Старый 15.05.2009, 17:40
Аватар для strecher
strecher
Новичок
Регистрация: 22.11.2005
Сообщений: 13
Провел на форуме:
102758

Репутация: 3
По умолчанию Какие есть минусы у htmlentities?
Есть ли какие либо проблемы с использованием данного кода для фильтрации запросов? Если да, то какие. Использую PHP + MySQL.
В данный момент это самый безопасный (инхо) метод фильтрации запросов который я нашёл. Инклуд в начало каждого скрипта который обрабатывает запросы.
Спасибо.

PHP код:
function antixss($str) {
$str htmlentities($strENT_QUOTES);
return $str;
}

foreach($_POST as $name => $value) {
$_POST[$name] = antixss($value);}
foreach($_GET as $name => $value) {
$_GET[$name] = antixss($value);} 
P.S. Если минусов нет, то почему все не пользуются этой функцией?
 

  #2  
Старый 15.05.2009, 17:46
Аватар для Dimi4
Dimi4
Reservists Of Antichat - Level 6
Регистрация: 19.03.2007
Сообщений: 953
Провел на форуме:
7617458

Репутация: 3965


Отправить сообщение для Dimi4 с помощью ICQ
По умолчанию
самое банальное, если у тебя запрос типа:
Код:
SELECT * from table where id=$_GET['id']
то толку от твоей функции ноль

А также если в скрипте юзаются бинарно зависимые функции, она не спасет. Например инклуд (на %00 не отреагирует)
Последний раз редактировалось Dimi4; 15.05.2009 в 17:50..
 

  #3  
Старый 15.05.2009, 17:51
Аватар для Sharky
Sharky
Познавший АНТИЧАТ
Регистрация: 01.05.2006
Сообщений: 1,021
Провел на форуме:
3424739

Репутация: 921


Отправить сообщение для Sharky с помощью ICQ
По умолчанию
лучше уж тогда htmlspecialchars
 

  #4  
Старый 15.05.2009, 18:04
Аватар для Dimi4
Dimi4
Reservists Of Antichat - Level 6
Регистрация: 19.03.2007
Сообщений: 953
Провел на форуме:
7617458

Репутация: 3965


Отправить сообщение для Dimi4 с помощью ICQ
По умолчанию
От хсс тоже не всегда спасет. Представим что у тебя скрипт обрабатывает этой функцией бб коды.
например:
Код:
[colo r=$_GET['color']]$_GET['text'][/ color]
превращается в
Код:
<font style="color: $_GET['color']">$_GET['text']</font>
Вот хсс:
Код:
[colo r=green; background:url\(javascript:eval(alert(1))]qe[/ color]
будет:
Код:
<font style="color: green; background:url\(javascript:eval(alert(1)))">qe</font>
 

  #5  
Старый 15.05.2009, 18:15
Аватар для astrologer
astrologer
Постоянный
Регистрация: 30.08.2007
Сообщений: 773
Провел на форуме:
3069349

Репутация: 808


По умолчанию
Про "фильтрацию" есть прикреплённая тема: статья про анти sql-inj.
 

  #6  
Старый 15.05.2009, 18:45
Аватар для nerezus
nerezus
Pagan Heart
Регистрация: 12.08.2004
Сообщений: 3,791
Провел на форуме:
6490435

Репутация: 2290


Отправить сообщение для nerezus с помощью ICQ
По умолчанию
Цитата:
P.S. Если минусов нет, то почему все не пользуются этой функцией?
Потому что это бред полный.
Ты портишь входящие данные.

Данные портить нельзя. Данные надо правильно использовать.
 
Закрытая тема



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Faq по Icq-хакингу ОТЕЦ ICQ 3 11.01.2007 16:26
Какие Уязвимости есть в Iconboard? Fr1k Форумы 10 25.11.2006 14:27
Какие есть проги для определения ip Лехан Чаты 0 09.11.2003 02:54



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ